SAP eXperience Day Pronti per il GDPR? · SAP eXperience Day Pronti per il GDPR? - 15 febbraio 2018...
Transcript of SAP eXperience Day Pronti per il GDPR? · SAP eXperience Day Pronti per il GDPR? - 15 febbraio 2018...
SAP eXperience Day Pronti per il GDPR? - 15 febbraio 2018
GDPR: implicazioni operative e suggerimenti progettuali per garantire la conformità
Andrea Mariotti, Associate Partner Cybersecurity & Data Protection, EY Advisory
Implicazioni operative
e suggerimenti progettuali
per garantire la conformità
3INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
L’arrivo delle nuove tecnologie sta avendo un impatto enorme su molti settori industriali, evolvendo il concetto di business e cambiando le problematiche e le priorità delle aziende.
Questi cambiamenti, però, aumentano anche i rischi legati a possibili attacchi cyber con impatto anche sui dati personali gestiti.
TECNOLOGIE DISRUPTIVE
ROBOTICS
PROCESS
AUTOMATION
BLOCKCHAIN
INTELLIGENZA
ARTIFICALE
ANALYTICS
& BIG DATA
IoT
OMNICHANNEL
(mobile, web,
social)
SETTORI IMPATTATI
Tecnologia, Media e
Telecomunicazioni
Settore Pubblico
Prodotti Industriali Trasporti e Settore
Immobiliare
Retail, beni di consumo Servizi Finanziari
Energy, Power & Utilities
Aumento della monetizzazione
dei dati Nuovi Modelli di Business
PA 4.0
Sicurezza globale
Manutenzione preventiva
Supply chainautomatizzata
Costruzione di modelli informatici Domotica
ePayment
Prodotti personalizzati
Transazioni sicure
Servizi Telematici
ePayment Prodotti personalizzati
Ottimizzazione della
distribuzione energeticaMisurazione
smart
I trend delle nuove tecnologie
ROBOTIC PROCESS AUTOMATION
BLOCKCHAIN
INTELLIGENZA ARTIFICIALE
ANALYTICS & BIG DATA
INTERNET OF THINGS
OMNICHANNEL
4INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
A che punto sono le aziende rispetto al GDPR?
Nu
me
rosità a
zie
nd
e c
he
a
ppro
ccia
no
il G
DP
RNow
24 maggio 2016 25 maggio 2018
Nel 2016 poche aziende hanno
effettuato assessment
Nel 2017 la maggior parte delle
aziende ha definito la progettualità
raggiungendo il picco a metà anno
Attualmente una quota parte
di aziende deve ancora
affrontare l’argomento
2017 2018
Alto rischio di arrivare a Maggio 2018 senza aver implementato
tutte le iniziative (in particolare le misure tecnologiche)
identificate nel corso dell’assessment
5INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
A che punto sono le aziende rispetto al GDPR?
Più della metà delle aziende aumenterà
il budget dedicato alla privacy nel 2018…
…ma meno di un terzo ritiene
sufficiente il budget allocato
Fonte: IAPP-EY Annual Privacy Governance Report 2017
Buona parte delle aziende ha effettuato una gap
analysis rispetto al GDPR ma solo il 40% ritiene di
arrivare a Maggio 2018 compliant con il regolamento:
6INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Quali sono gli impatti operativi del GDPR?
Principali problematiche identificate a seguito delle attività di assessment e gap analysis:
P
R
I
V
A
C
Y
Assenza di programmi
di formazione e awareness
in ambito Privacy e Security
Assenza di un
modello di Governo
della Privacy
Ruoli e Responsabilità
Privacy diffusi e non
formalmente identificati
Mancata definizione
dei tempi di retention
per i dati personali
Assenza di un
processo di gestione
dei Data Breach
Soluzioni applicative non progettate
secondo il principio di Privacy by
Design & Default e Data Minimization
Gestione non
strutturata richieste
dell’interessato
7INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Quali attività sono necessarie in via prioritaria?
Fonte: IAPP-EY Annual Privacy Governance Report 2017
Gli investimenti in tecnologie per garantire la compliance
al GDPR sono notevolmente aumentati nell’ultimo anno:
8INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Le minacce alla tutela dei dati personali e i requisiti del GDPR
L’implementazione di requisiti sia proattivi sia reattivi (per esempio, valutazione dei rischi e DPIA, privacy by design e by default, gestione dei data breach) minimizza i rischi legati ai diritti e alle libertà delle persone e può rendere la compliance al GDPR anche un fattore abilitante della digitalizzazione:
Principali requisiti
► Analisi dei rischi e Valutazione
degli Impatti
► Data Breach Management
► Privacy by design e by default
Minacce
► Violazione, perdita e distruzione dei dati
► Trattamento non conforme alle finalità
► Modifica non autorizzata dei dati
► Perdita del controllo sui dati
► Condivisione con terze parti
► Malware e ramsomware
► Furti di identità
9INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Analisi dei rischi e valutazione degli impatti
Alle aziende è richiesto di effettuare una valutazione del rapporto tra rischi individuati e misure
tecniche e organizzative adottate:
Rischio: Determinare probabilità e impatto del rischio in funzione della natura, contesto, finalità e scala del trattamento
Monitoraggio: Garantire la costante adeguatezza con valutazioni e interventi periodici
Adeguatezza: Individuazione delle misure tecniche -organizzative commisurate al rischio individuato
Data Protection Impact
Assessment
10INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Chi deve effettuare il DPIA e in quali casi?
Deve essere effettuata quando il trattamento:
Titolare del Trattamento
Presenti un rischio per i diritti e le libertàfondamentali dell’interessato 1
Venga effettuato con nuove tecnologie2Riguardi una valutazione sistematica basata su trattamenti automatizzati, compresa profilazione3Riguardi il trattamento di categorie particolari di dati (es. biometrici, sanitari, ecc.)4Riguardi la sorveglianza sistematica su larga scala di zone accessibili al pubblico 5
DPO
Consulta
L'autorità di controllo redige e rende pubblico un elenco dei trattamenti soggetti a PIA; l’autorità potrà altresì redigere un elenco di trattamenti per i quali non è richiesta la valutazione degli impatti
WP29 ha definito ad Aprile 2017 le Linee Guida per il Data Protection Impact Assessment (DPIA)
11INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Analogie con altre analisi dei rischi
Il Data Protection Impact Assessment presenta forti analogie con altri processi di valutazione di impatto e analisi dei rischi:
Gestione dei rischi integrata (Enterprise Risk Management)
Dati Personali
Data Protection Impact
Assessment
Controlli Privacy
(es. ISO 29100)
Protezione dei dati personali
Asset Informativi
Security Risk
Assessment
Controlli Sicurezza
(es. ISO 27000)
Sicurezza delle informazioni
Processi aziendali
Business Impact Analysis
Controlli Business
Continuity (es. ISO 22300)
Continuità aziendale
12INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Il punto di partenza è l’analisi e la raccolta di tutte le informazioni necessarie circa la tipologia
di dati trattati e l’identificazione dei relativi trattamenti:
Analisi dei trattamenti e dei flussi informativi
Rilevazione
dei trattamenti
Rilevazione
della tipologia
di dati
Tipologia dei dati
personali trattati
Finalità
Tipi di archivi e asset
utilizzati nel trattamento
Ruoli e responsabilità
dei soggetti coinvolti
Personali, Sensibili, Giudiziari,
Genetici, Biometrici, ecc.
Erogare servizi, Marketing,
Profilazione ecc.
Gestione informatizzata/cartacea,
automatizzata/manuale
Titolare e Responsabili
del trattamento
Mappatura dei trattamenti
tramite redazione del
Registro dei trattamenti
Correlazione
dei trattamenti
con le tipologie di asset
Soggetti interessati, Categorie dei dati,
Finalità del trattamento, Modalità del
trattamento, Sistema Informativo, ecc.
Risorse umane, applicazioni, device
utilizzati, server, ecc.
13INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Il GDPR cita espressamente le contromisure da implementare per garantire un livello di sicurezza adeguato
al rischio. Le tipologie di misure adottate possono essere: organizzative (es. procedure di monitoraggio,
nomina del DPO, processi di gestione accessi,…), legali (gestione del consenso, delle informative,…)
e tecniche (cifratura dei dati, ripristino dei dati,…).
Valutazione delle contromisure
Pseudonimizzazione e cifratura dei dati1Capacità di assicurare continua riservatezza, integrità, disponibilità e resilienza dei sistemie dei servizi di trattamento dati2Capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente3Procedura per provare, verificare e valutare efficacia delle misure tecniche ed organizzative per garantire la sicurezza4
Cifratura dei dati critici, pseudonimizzazione dei dati
soggetti a profilazione,…
Sicurezza degli accessi fisici, configurazioni
di sicurezza sui sistemi, ridondanza dei sistemi,…
Gestione dei backup, procedure di IT continuity
e disaster recovery,…
Attività di monitoraggio, verifiche ispettive, VA/PT,…
Contromisure tecniche indicate dal GDPR (art. 32)
14INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Data Breach ManagementProcesso di notifica
Breach
Awarenessdella violazione
Investigazione
Notifica al Garante (se esiste la possibilità di rischi per l’individuo)
Notifica agli interessati (se esistono probabili alti
rischi per l’individuo)
Senza ingiustificato
ritardo (entro 72 ore)
Senza ingiustificato
ritardo
• Il Responsabile del trattamento deve riportare la violazione sui dati personali al Titolare
• Il Titolare deve notificare la violazione all’Autorità Garante e in alcuni casi ai soggetti interessati
• Il Titolare deve mantenere un registro interno delle violazioni con impatti e misure adottate
• La mancata ottemperanza ai requisiti del GDPR comporta sanzioni amministrative
15INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Data Breach ManagementQuali misure di sicurezza
Pre disruption: misure preventive per ridurre
il rischio di distruzione, perdita, modifica,
divulgazione o accesso non autorizzati
ai dati personali
Disruption: misure per una pronta
reazione ad incidenti e implementazione
di efficaci azioni di rimedio e tempestive
comunicazioni alle autorità competenti
e agli interessati
Post disruption: misure successive
alla gestione della violazione nell’ottica
del ritorno alla normalità, del miglioramento
continuo e dell’analisi delle cause
Resist
ReactReshape
► Post Incident Review
► Performance Improvement
► Digital Enablement
► Threat Intelligence
► Cifratura dei dati
► Identity and Access Management
► Backup management
► Formazione e sensibilizzazione
► Strategie BCM e DRP
► Notifica della Violazione
► Incident assessment, containment,
eradication
► Crisis management
► Piani di continuità
Approccio
per la data
breach
resilience
16INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Privacy by design e by defaultIl principio della Privacy by design (e by default)
1. Proattività e non reattività: prevenire invece che rimediare
2. Minimizzazione dei dati raccolti
3. Tutela della Privacy sin dal disegno di sistemi e processi
aziendali
4. Garanzia della piena funzionalità senza ignorare la tutela
dei dati personali
5. Sicurezza End-to-End per l’intero ciclo di vita
dell’informazione
6. Visibilità e Trasparenza
7. Rispetto per la Privacy dell’utente tramite un approccio
User-Centric
Integrazione
di Privacy
e protezione dei dati
personali
nella catena
del valore digitale
aziendale
e nel ciclo di vita
(dalla requisitazione
all’implementazione)
di tutti i progetti
sia Business sia IT
17INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
• Poiché gli interessati hanno diritto alla rettifica o alla cancellazione dei dati personali
se non più necessari in funzione delle finalità per i quali sono stati raccolti e trattati,
è necessario definire una politica di conservazione dei dati, considerando
che la conservazione di determinati dati è richiesta da obblighi legali, interessi
pubblici, ecc.
• Il GDPR richiede inoltre che il registro dei trattamenti contenga ove possibile i termini
ultimi previsti per la cancellazione delle diverse categorie di dati
• Le informazioni sui clienti raccolte in un database devono essere conservate tutte
per lo stesso periodo o hanno un diverso periodo di conservazione in base al tipo
di informazioni e allo scopo per cui sono state raccolte?
• Come gestire la conservazione dei dati presenti in formato cartaceo o sul backup
e sui dati archiviati?
Privacy by design e by defaultFocus sulla data retention
18INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Le preoccupazioni sulla protezione dei dati personali
Secondo un recente sondaggio, le maggiori preoccupazioni delle imprese riguardano proprio
l’identificazione dei dati personali all’interno delle società e la cancellazione dei dati che
potrebbero essere utili in futuro:
Nessun criterio per determinare quali dati
salvare o cancellare
Cancellazione dei dati che potrebbero
essere utili in futuro
Incapacità di identificare, localizzare
e gestire i dati personali
Nessuno strumento per monitorare dati
in tempo reale
Non essere preparati a proteggere
i dati personali da violazioni, perdite
o danneggiamenti
42 %
39 %
39 %
32 %
30 %
Fonte: Report Veritas 2017 GDPR
19INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Alcuni processi / tecnologie abilitanti per la conformità
Utilizzare strumenti di data
discovery per rilevare i dati
personali e i flussi all'interno
dell'organizzazione
I dati dei clienti spesso non sono solo in un unico database, ma sono sparsi
in tutta l'azienda su file e dati destrutturati e trasmessi all’interno / esterno
dell’organizzazione in varie modalità. L'uso di dati destrutturati può rendere
difficile la gestione del consenso, causando il trattamento di dati non legittimi
Scenario Soluzioni
Definizione di processi
di Data Quality e Data
Governance management
Poiché i dati possono essere sparsi in tutta l'organizzazione, un registro unico
aiuta non solo l'attività di mappatura, ma garantisce che ci sia solo una fonte
in cui i dati sono corretti. I dati personali dei clienti cambiano spesso
e campagne di marketing non aggiornate potrebbero essere meno efficaci
Definizione di processi
di Gestione dei Consensi
in ambienti multicanale
I consensi devono essere chiari e i clienti devono selezionare
per quale trattamento fornire il proprio consenso. Un elemento da gestire
è anche quello di fornire un feedback alla persona riguardo quali sono i canali
di comunicazione e su quali consensi sono stati forniti alla società
per le diverse finalità per cui i dati verranno trattati
È essenziale mettere in atto processi e strumenti
per mantenere e gestire la conformità dei dati personali raccolti
Andrea MariottiAssociate Partner, IT Risk & Assurance
Ernst & Young Financial-Business Advisors
+39 02.85141
21INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
The information in this presentation is confidential and proprietary to SAP and may not be disclosed without the permission of SAP. This presentation is not subject to your license
agreement or any other service or subscription agreement with SAP. SAP has no obligation to pursue any course of business outlined in this document or any related presentation,
or to develop or release any functionality mentioned therein. This document, or any related presentation and SAP's strategy and possible future developments, products and/or
platforms directions and functionality are all subject to change and may be changed by SAP at any time for any reason without notice. The information on this document is not a
commitment, promise or legal obligation to deliver any material, code or functionality. This document is provided without a warranty of any kind, either express or implied, including
but not limited to, the implied warranties of merchantability, fitness for a particular purpose, or noninfringement. This document is for informational purposes and may not be
incorporated into a contract. SAP assumes no responsibility for errors or omissions in this document, and shall have no liability for damages of any kind including without limitation
direct, special, indirect, or consequential damages that may result from the use of this document. This limitation shall not apply in cases of intent or gross negligence.
All forward-looking statements are subject to various risks and uncertainties that could cause actual results to differ materially from expectations. Readers are cautioned not to place
undue reliance on these forward-looking statements, which speak only as of their dates, and they should not be relied upon in making purchasing decisions.
NOTE: The information contained in this presentation is for general guidance only and provided on the
understanding that SAP is not herein engaged in rendering legal advice. As such, it should not be used as a
substitute for legal consultation. SAP SE accepts no liability for any actions taken as response hereto.
It is the customer’s responsibility to adopt measures that the customer deems appropriate to achieve GDPR
compliance.
Legal Disclaimer
No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP SE or an SAP affiliate company.
The information contained herein may be changed without prior notice. Some software products marketed by SAP SE and its distributors contain proprietary software components
of other software vendors. National product specifications may vary.
These materials are provided by SAP SE or an SAP affiliate company for informational purposes only, without representation or warranty of any kind, and SAP or its affiliated
companies shall not be liable for errors or omissions with respect to the materials. The only warranties for SAP or SAP affiliate company products and services are those that are
set forth in the express warranty statements accompanying such products and services, if any. Nothing herein should be construed as constituting an additional warranty.
In particular, SAP SE or its affiliated companies have no obligation to pursue any course of business outlined in this document or any related presentation, or to develop or release
any functionality mentioned therein. This document, or any related presentation, and SAP SE’s or its affiliated companies’ strategy and possible future developments, products,
and/or platforms, directions, and functionality are all subject to change and may be changed by SAP SE or its affiliated companies at any time for any reason without notice. The
information in this document is not a commitment, promise, or legal obligation to deliver any material, code, or functionality. All forward-looking statements are subject to various risks
and uncertainties that could cause actual results to differ materially from expectations. Readers are cautioned not to place undue reliance on these forward-looking statements, and
they should not be relied upon in making purchasing decisions.
SAP and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP SE (or an SAP affiliate company)
in Germany and other countries. All other product and service names mentioned are the trademarks of their respective companies.
See www.sap.com/corporate-en/legal/copyright/index.epx for additional trademark information and notices.
© 2018 SAP SE or an SAP affiliate company. All rights reserved.