SAP eXperience Day Pronti per il GDPR? - 15 febbraio 2018

GDPR: implicazioni operative e suggerimenti progettuali per garantire la conformità

Andrea Mariotti, Associate Partner Cybersecurity & Data Protection, EY Advisory

Implicazioni operative

e suggerimenti progettuali

per garantire la conformità

3INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

L’arrivo delle nuove tecnologie sta avendo un impatto enorme su molti settori industriali, evolvendo il concetto di business e cambiando le problematiche e le priorità delle aziende.

Questi cambiamenti, però, aumentano anche i rischi legati a possibili attacchi cyber con impatto anche sui dati personali gestiti.

TECNOLOGIE DISRUPTIVE

ROBOTICS

PROCESS

AUTOMATION

BLOCKCHAIN

INTELLIGENZA

ARTIFICALE

ANALYTICS

& BIG DATA

IoT

OMNICHANNEL

(mobile, web,

social)

SETTORI IMPATTATI

Tecnologia, Media e

Telecomunicazioni

Settore Pubblico

Prodotti Industriali Trasporti e Settore

Immobiliare

Retail, beni di consumo Servizi Finanziari

Energy, Power & Utilities

Aumento della monetizzazione

dei dati Nuovi Modelli di Business

PA 4.0

Sicurezza globale

Manutenzione preventiva

Supply chainautomatizzata

Costruzione di modelli informatici Domotica

ePayment

Prodotti personalizzati

Transazioni sicure

Servizi Telematici

ePayment Prodotti personalizzati

Ottimizzazione della

distribuzione energeticaMisurazione

smart

I trend delle nuove tecnologie

ROBOTIC PROCESS AUTOMATION

BLOCKCHAIN

INTELLIGENZA ARTIFICIALE

ANALYTICS & BIG DATA

INTERNET OF THINGS

OMNICHANNEL

4INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

A che punto sono le aziende rispetto al GDPR?

Nu

me

rosità a

zie

nd

e c

he

a

ppro

ccia

no

il G

DP

RNow

24 maggio 2016 25 maggio 2018

Nel 2016 poche aziende hanno

effettuato assessment

Nel 2017 la maggior parte delle

aziende ha definito la progettualità

raggiungendo il picco a metà anno

Attualmente una quota parte

di aziende deve ancora

affrontare l’argomento

2017 2018

Alto rischio di arrivare a Maggio 2018 senza aver implementato

tutte le iniziative (in particolare le misure tecnologiche)

identificate nel corso dell’assessment

5INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

A che punto sono le aziende rispetto al GDPR?

Più della metà delle aziende aumenterà

il budget dedicato alla privacy nel 2018…

…ma meno di un terzo ritiene

sufficiente il budget allocato

Fonte: IAPP-EY Annual Privacy Governance Report 2017

Buona parte delle aziende ha effettuato una gap

analysis rispetto al GDPR ma solo il 40% ritiene di

arrivare a Maggio 2018 compliant con il regolamento:

6INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Quali sono gli impatti operativi del GDPR?

Principali problematiche identificate a seguito delle attività di assessment e gap analysis:

P

R

I

V

A

C

Y

Assenza di programmi

di formazione e awareness

in ambito Privacy e Security

Assenza di un

modello di Governo

della Privacy

Ruoli e Responsabilità

Privacy diffusi e non

formalmente identificati

Mancata definizione

dei tempi di retention

per i dati personali

Assenza di un

processo di gestione

dei Data Breach

Soluzioni applicative non progettate

secondo il principio di Privacy by

Design & Default e Data Minimization

Gestione non

strutturata richieste

dell’interessato

7INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Quali attività sono necessarie in via prioritaria?

Fonte: IAPP-EY Annual Privacy Governance Report 2017

Gli investimenti in tecnologie per garantire la compliance

al GDPR sono notevolmente aumentati nell’ultimo anno:

8INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Le minacce alla tutela dei dati personali e i requisiti del GDPR

L’implementazione di requisiti sia proattivi sia reattivi (per esempio, valutazione dei rischi e DPIA, privacy by design e by default, gestione dei data breach) minimizza i rischi legati ai diritti e alle libertà delle persone e può rendere la compliance al GDPR anche un fattore abilitante della digitalizzazione:

Principali requisiti

► Analisi dei rischi e Valutazione

degli Impatti

► Data Breach Management

► Privacy by design e by default

Minacce

► Violazione, perdita e distruzione dei dati

► Trattamento non conforme alle finalità

► Modifica non autorizzata dei dati

► Perdita del controllo sui dati

► Condivisione con terze parti

► Malware e ramsomware

► Furti di identità

9INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Analisi dei rischi e valutazione degli impatti

Alle aziende è richiesto di effettuare una valutazione del rapporto tra rischi individuati e misure

tecniche e organizzative adottate:

Rischio: Determinare probabilità e impatto del rischio in funzione della natura, contesto, finalità e scala del trattamento

Monitoraggio: Garantire la costante adeguatezza con valutazioni e interventi periodici

Adeguatezza: Individuazione delle misure tecniche -organizzative commisurate al rischio individuato

Data Protection Impact

Assessment

10INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Chi deve effettuare il DPIA e in quali casi?

Deve essere effettuata quando il trattamento:

Titolare del Trattamento

Presenti un rischio per i diritti e le libertàfondamentali dell’interessato 1

Venga effettuato con nuove tecnologie2Riguardi una valutazione sistematica basata su trattamenti automatizzati, compresa profilazione3Riguardi il trattamento di categorie particolari di dati (es. biometrici, sanitari, ecc.)4Riguardi la sorveglianza sistematica su larga scala di zone accessibili al pubblico 5

DPO

Consulta

L'autorità di controllo redige e rende pubblico un elenco dei trattamenti soggetti a PIA; l’autorità potrà altresì redigere un elenco di trattamenti per i quali non è richiesta la valutazione degli impatti

WP29 ha definito ad Aprile 2017 le Linee Guida per il Data Protection Impact Assessment (DPIA)

11INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Analogie con altre analisi dei rischi

Il Data Protection Impact Assessment presenta forti analogie con altri processi di valutazione di impatto e analisi dei rischi:

Gestione dei rischi integrata (Enterprise Risk Management)

Dati Personali

Data Protection Impact

Assessment

Controlli Privacy

(es. ISO 29100)

Protezione dei dati personali

Asset Informativi

Security Risk

Assessment

Controlli Sicurezza

(es. ISO 27000)

Sicurezza delle informazioni

Processi aziendali

Business Impact Analysis

Controlli Business

Continuity (es. ISO 22300)

Continuità aziendale

12INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Il punto di partenza è l’analisi e la raccolta di tutte le informazioni necessarie circa la tipologia

di dati trattati e l’identificazione dei relativi trattamenti:

Analisi dei trattamenti e dei flussi informativi

Rilevazione

dei trattamenti

Rilevazione

della tipologia

di dati

Tipologia dei dati

personali trattati

Finalità

Tipi di archivi e asset

utilizzati nel trattamento

Ruoli e responsabilità

dei soggetti coinvolti

Personali, Sensibili, Giudiziari,

Genetici, Biometrici, ecc.

Erogare servizi, Marketing,

Profilazione ecc.

Gestione informatizzata/cartacea,

automatizzata/manuale

Titolare e Responsabili

del trattamento

Mappatura dei trattamenti

tramite redazione del

Registro dei trattamenti

Correlazione

dei trattamenti

con le tipologie di asset

Soggetti interessati, Categorie dei dati,

Finalità del trattamento, Modalità del

trattamento, Sistema Informativo, ecc.

Risorse umane, applicazioni, device

utilizzati, server, ecc.

13INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Il GDPR cita espressamente le contromisure da implementare per garantire un livello di sicurezza adeguato

al rischio. Le tipologie di misure adottate possono essere: organizzative (es. procedure di monitoraggio,

nomina del DPO, processi di gestione accessi,…), legali (gestione del consenso, delle informative,…)

e tecniche (cifratura dei dati, ripristino dei dati,…).

Valutazione delle contromisure

Pseudonimizzazione e cifratura dei dati1Capacità di assicurare continua riservatezza, integrità, disponibilità e resilienza dei sistemie dei servizi di trattamento dati2Capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente3Procedura per provare, verificare e valutare efficacia delle misure tecniche ed organizzative per garantire la sicurezza4

Cifratura dei dati critici, pseudonimizzazione dei dati

soggetti a profilazione,…

Sicurezza degli accessi fisici, configurazioni

di sicurezza sui sistemi, ridondanza dei sistemi,…

Gestione dei backup, procedure di IT continuity

e disaster recovery,…

Attività di monitoraggio, verifiche ispettive, VA/PT,…

Contromisure tecniche indicate dal GDPR (art. 32)

14INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Data Breach ManagementProcesso di notifica

Breach

Awarenessdella violazione

Investigazione

Notifica al Garante (se esiste la possibilità di rischi per l’individuo)

Notifica agli interessati (se esistono probabili alti

rischi per l’individuo)

Senza ingiustificato

ritardo (entro 72 ore)

Senza ingiustificato

ritardo

• Il Responsabile del trattamento deve riportare la violazione sui dati personali al Titolare

• Il Titolare deve notificare la violazione all’Autorità Garante e in alcuni casi ai soggetti interessati

• Il Titolare deve mantenere un registro interno delle violazioni con impatti e misure adottate

• La mancata ottemperanza ai requisiti del GDPR comporta sanzioni amministrative

15INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Data Breach ManagementQuali misure di sicurezza

Pre disruption: misure preventive per ridurre

il rischio di distruzione, perdita, modifica,

divulgazione o accesso non autorizzati

ai dati personali

Disruption: misure per una pronta

reazione ad incidenti e implementazione

di efficaci azioni di rimedio e tempestive

comunicazioni alle autorità competenti

e agli interessati

Post disruption: misure successive

alla gestione della violazione nell’ottica

del ritorno alla normalità, del miglioramento

continuo e dell’analisi delle cause

Resist

ReactReshape

► Post Incident Review

► Performance Improvement

► Digital Enablement

► Threat Intelligence

► Cifratura dei dati

► Identity and Access Management

► Backup management

► Formazione e sensibilizzazione

► Strategie BCM e DRP

► Notifica della Violazione

► Incident assessment, containment,

eradication

► Crisis management

► Piani di continuità

Approccio

per la data

breach

resilience

16INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Privacy by design e by defaultIl principio della Privacy by design (e by default)

1. Proattività e non reattività: prevenire invece che rimediare

2. Minimizzazione dei dati raccolti

3. Tutela della Privacy sin dal disegno di sistemi e processi

aziendali

4. Garanzia della piena funzionalità senza ignorare la tutela

dei dati personali

5. Sicurezza End-to-End per l’intero ciclo di vita

dell’informazione

6. Visibilità e Trasparenza

7. Rispetto per la Privacy dell’utente tramite un approccio

User-Centric

Integrazione

di Privacy

e protezione dei dati

personali

nella catena

del valore digitale

aziendale

e nel ciclo di vita

(dalla requisitazione

all’implementazione)

di tutti i progetti

sia Business sia IT

17INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

• Poiché gli interessati hanno diritto alla rettifica o alla cancellazione dei dati personali

se non più necessari in funzione delle finalità per i quali sono stati raccolti e trattati,

è necessario definire una politica di conservazione dei dati, considerando

che la conservazione di determinati dati è richiesta da obblighi legali, interessi

pubblici, ecc.

• Il GDPR richiede inoltre che il registro dei trattamenti contenga ove possibile i termini

ultimi previsti per la cancellazione delle diverse categorie di dati

• Le informazioni sui clienti raccolte in un database devono essere conservate tutte

per lo stesso periodo o hanno un diverso periodo di conservazione in base al tipo

di informazioni e allo scopo per cui sono state raccolte?

• Come gestire la conservazione dei dati presenti in formato cartaceo o sul backup

e sui dati archiviati?

Privacy by design e by defaultFocus sulla data retention

18INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Le preoccupazioni sulla protezione dei dati personali

Secondo un recente sondaggio, le maggiori preoccupazioni delle imprese riguardano proprio

l’identificazione dei dati personali all’interno delle società e la cancellazione dei dati che

potrebbero essere utili in futuro:

Nessun criterio per determinare quali dati

salvare o cancellare

Cancellazione dei dati che potrebbero

essere utili in futuro

Incapacità di identificare, localizzare

e gestire i dati personali

Nessuno strumento per monitorare dati

in tempo reale

Non essere preparati a proteggere

i dati personali da violazioni, perdite

o danneggiamenti

42 %

39 %

39 %

32 %

30 %

Fonte: Report Veritas 2017 GDPR

19INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

Alcuni processi / tecnologie abilitanti per la conformità

Utilizzare strumenti di data

discovery per rilevare i dati

personali e i flussi all'interno

dell'organizzazione

I dati dei clienti spesso non sono solo in un unico database, ma sono sparsi

in tutta l'azienda su file e dati destrutturati e trasmessi all’interno / esterno

dell’organizzazione in varie modalità. L'uso di dati destrutturati può rendere

difficile la gestione del consenso, causando il trattamento di dati non legittimi

Scenario Soluzioni

Definizione di processi

di Data Quality e Data

Governance management

Poiché i dati possono essere sparsi in tutta l'organizzazione, un registro unico

aiuta non solo l'attività di mappatura, ma garantisce che ci sia solo una fonte

in cui i dati sono corretti. I dati personali dei clienti cambiano spesso

e campagne di marketing non aggiornate potrebbero essere meno efficaci

Definizione di processi

di Gestione dei Consensi

in ambienti multicanale

I consensi devono essere chiari e i clienti devono selezionare

per quale trattamento fornire il proprio consenso. Un elemento da gestire

è anche quello di fornire un feedback alla persona riguardo quali sono i canali

di comunicazione e su quali consensi sono stati forniti alla società

per le diverse finalità per cui i dati verranno trattati

È essenziale mettere in atto processi e strumenti

per mantenere e gestire la conformità dei dati personali raccolti

Andrea MariottiAssociate Partner, IT Risk & Assurance

Ernst & Young Financial-Business Advisors

andrea.mariotti@it.ey.com

+39 02.85141

21INTERNAL© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ

The information in this presentation is confidential and proprietary to SAP and may not be disclosed without the permission of SAP. This presentation is not subject to your license

agreement or any other service or subscription agreement with SAP. SAP has no obligation to pursue any course of business outlined in this document or any related presentation,

or to develop or release any functionality mentioned therein. This document, or any related presentation and SAP's strategy and possible future developments, products and/or

platforms directions and functionality are all subject to change and may be changed by SAP at any time for any reason without notice. The information on this document is not a

commitment, promise or legal obligation to deliver any material, code or functionality. This document is provided without a warranty of any kind, either express or implied, including

but not limited to, the implied warranties of merchantability, fitness for a particular purpose, or noninfringement. This document is for informational purposes and may not be

incorporated into a contract. SAP assumes no responsibility for errors or omissions in this document, and shall have no liability for damages of any kind including without limitation

direct, special, indirect, or consequential damages that may result from the use of this document. This limitation shall not apply in cases of intent or gross negligence.

All forward-looking statements are subject to various risks and uncertainties that could cause actual results to differ materially from expectations. Readers are cautioned not to place

undue reliance on these forward-looking statements, which speak only as of their dates, and they should not be relied upon in making purchasing decisions.

NOTE: The information contained in this presentation is for general guidance only and provided on the

understanding that SAP is not herein engaged in rendering legal advice. As such, it should not be used as a

substitute for legal consultation. SAP SE accepts no liability for any actions taken as response hereto.

It is the customer’s responsibility to adopt measures that the customer deems appropriate to achieve GDPR

compliance.

Legal Disclaimer

No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP SE or an SAP affiliate company.

The information contained herein may be changed without prior notice. Some software products marketed by SAP SE and its distributors contain proprietary software components

of other software vendors. National product specifications may vary.

These materials are provided by SAP SE or an SAP affiliate company for informational purposes only, without representation or warranty of any kind, and SAP or its affiliated

companies shall not be liable for errors or omissions with respect to the materials. The only warranties for SAP or SAP affiliate company products and services are those that are

set forth in the express warranty statements accompanying such products and services, if any. Nothing herein should be construed as constituting an additional warranty.

In particular, SAP SE or its affiliated companies have no obligation to pursue any course of business outlined in this document or any related presentation, or to develop or release

any functionality mentioned therein. This document, or any related presentation, and SAP SE’s or its affiliated companies’ strategy and possible future developments, products,

and/or platforms, directions, and functionality are all subject to change and may be changed by SAP SE or its affiliated companies at any time for any reason without notice. The

information in this document is not a commitment, promise, or legal obligation to deliver any material, code, or functionality. All forward-looking statements are subject to various risks

and uncertainties that could cause actual results to differ materially from expectations. Readers are cautioned not to place undue reliance on these forward-looking statements, and

they should not be relied upon in making purchasing decisions.

SAP and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP SE (or an SAP affiliate company)

in Germany and other countries. All other product and service names mentioned are the trademarks of their respective companies.

See www.sap.com/corporate-en/legal/copyright/index.epx for additional trademark information and notices.

© 2018 SAP SE or an SAP affiliate company. All rights reserved.