Sei sulla pagina 1di 11

Piano di sviluppo e implementazione

del GDPR nelle aziende di TPL


Proto Tilocca
Dirigente settore Pianificazione,
marketing e qualità di CTM S.p.A
Introduzione: piano di sviluppo GDPR nelle aziende

PIANO DI
SVILUPPO

Fase Fase
preliminare operativa

Le attività previste dal piano di sviluppo sono state suddivise in due fasi, una fase preliminare e una
successiva fase operativa

• La fase preliminare: comprende tutte le attività preparatorie necessarie per acquisire le competenze
e gli strumenti utili per espletare le attività richieste dal GDPR, quali la conoscenza della normativa,
l’individuazione delle figure coinvolte, la ricognizione dei trattamenti, la valutazione del gap e l’analisi del
rischio

• La fase operativa: prevede le attività necessarie per modificare i processi aziendali e portarli a
conformità del GDPR.

2
WBS del Piano di sviluppo GDPR nelle aziende

PIANO DI
SVILUPPO GDPR

2. Individuazione 3.Censimento dei 4. Analisi conformità 6. Adempimenti 7. Integrazione con


1.Analisi 5. Misure di sicurezza
team di progetto trattamenti in essere processi esistenti e analisi normativi sistemi di gestione
normativa (Linee Riesame
del rischio (Linee guida (Linee guida cap.7) aziendale (Linee
guida cap.2) (Linee guida cap.3) (Linee guida cap.4) (Linee guida cap.5)
cap.6) guida cap.8)
1.1 Valutazione dei 2.1 Elenco figure 3.1 Utilizzo dati 4.1 Valutazione livello di 5.1 Misure organizzative 6.1 Revisione informative 7.1 Integrazione con
requisiti contenuti nel preposte censimento dei trattamenti conformità al GDPR UNI EN ISO
5.1.1 Individuazione figure 6.2 Nomine incaricati e
Regolamento Europeo (se già eseguito per il 9001:2015
2.2 Altre figure aziendali responsabili
D.lgs.196/03) 4.2 Valutazione GAP a chiave 7.2 Integrazione con
1.2 Raccolta ed 2.3 Formazione livello organizzativo 6.3 Predisposizione registro UNI EN ISO
analisi della 3.2 Esecuzione interviste 5.1.2 Individuazione e attività di trattamento 14001:2015
documentazione nei vari settori aziendali per 4.3 Valutazione GAP a
Nomina DPO 7.3 Integrazione con
aziendale disponibile raccolta e aggiornamento livello tecnologico 6.4 Procedura per diritto di
UNI EN ISO 27001
trattamenti eseguiti rettifica
4.4 Identificazione, analisi e 5.1.3 Matrice compiti-
7.4 Integrazione con
3.3 Mappatura valutazione del rischio responsabilità 6.5 Procedura per dir. oblio Dlgs 231/2001
trattamenti eseguiti, 5.1.4 Acquisizione risorse
4.5 Piano di trattamento 6.6 Procedura per 7.5 Integrazione con
supporti informatici e
del rischio portabilità dei dati Anticorruzione e
cartacei per i trattamenti, 5.1.5 Formazione
flussi di scambio 5.2 Misure tecnologiche 6.7 Procedura per diritto Trasparenza
FASE all’opposizione
5.2.1 Policy di sicurezza
PRELIMINARE 5.2.2 Infrastrutture hardware
6.8 Procedura per diritto di
accesso
e software

5.2.3 Business continuity


6.9 Definizione criteri di FASE
liceità
5.3 Misure per
trattamenti tipizzati 6.10 Data breach
OPERATIVA
Alcuni aspetti caratterizzanti
1. ANALISI NORMATIVA

Descrizione attività: Studio e aggiornamento sugli sviluppi della normativa


nazionale e comunitaria in materia di protezione dei dati personali.

Punto di attenzione: le aziende dovranno valutare le novità apportate dal Regolamento


e dedicare tempo e risorse per l’ attività di formazione del personale aziendale

2. INDIVIDUAZIONE TEAM DI PROGETTO

Descrizione attività: importante individuare le figure del team aziendale per le


attività necessarie all’implementazione del GDPR in azienda. A questo si aggiunge la
definizione di compiti e responsabilità delle figure previste quali quelle del titolare, dei
responsabili del trattamento e del DPO.

Punto di attenzione: prevedere i tempi necessari alla scelta e alla formazione delle
figure individuate

4
Alcuni aspetti caratterizzanti
3.CENSIMENTO DEI TRATTAMENTI IN ESSERE

Descrizione attività: coinvolgimento vari settori aziendali con l’analisi di ogni


processo, l’individuazione del tipo di dati trattati e delle finalità del trattamento,
la specificazione dei tempi di conservazione e l’indicazione delle misure di sicurezza
adottate.

Punto di attenzione: la durata temporale delle attività per la predisposizione del


registro dei trattamenti dipendente da quanto già svolto in merito al censimento e
all’analisi dei propri trattamenti.

5
Alcuni aspetti caratterizzanti
4. ANALISI CONFORMITA’ PROCESSI ESISTENTI E ANALISI DEL RISCHIO

Descrizione attività: Valutazione del gap a livello organizzativo e tecnologico per


la valutazione del rischio. L’analisi del rischio sarà obbligatoria ogni volta che si dovrà
attivare un nuovo trattamento o modificarne uno esistente. Il rischio di impatti negativi
sulle libertà e i diritti degli interessati dovrà essere analizzato attraverso uno specifico
processo di valutazione tenendo conto dei rischi noti o evidenziabili e delle misure
tecniche e organizzative che il titolare ritiene di dover adottare per mitigare tali rischi.

Punto di attenzione: necessaria attenta analisi dei rischi per la valutazione


dell’accettabilità del trattamento PRIMA che esso sia posto in essere

P (probabilità) x G (gravità) = R (rischio)

6
Alcuni aspetti caratterizzanti
5. MISURE DI SICUREZZA

5.1.1 Individuazione figure


5.2 Misure tecnologiche
chiave
5.2.1 Policy di sicurezza
5.1 Misure 5.1.2 Individuazione e 5.2 Misure 5.2.2 Infrastrutture
organizzative Nomina DPO tecnologiche hardware e software
5.1.3 Matrice compiti- 5.2.3 Business continuity
responsabilità
5.1.4 Acquisizione risorse
5.1.5 Formazione

Descrizione attività: individuazione figure chiave e definizione matrice compiti-


responsabilità. Scelta e nomina del DPO (interno o esterno). Necessari adeguamenti dei
sistemi informativi .

Punto di attenzione: per la scelta del DPO prevedere i tempi necessari per
l’espletamento di eventuali procedure ad evidenza pubblica che dovranno essere effettuate
entro il 25 maggio 2018. Valutazione attenta dei costi per gli adeguamenti hardware e
software.

7
Alcuni aspetti caratterizzanti
6. ADEMPIMENTI NORMATIVI

Descrizione attività: Predisposizione procedure per diritto di rettifica e


cancellazione, diritto di accesso, diritto di opposizione, diritto alla portabilità dei dati,
revisione informative e gestione del data breach.

Punto di attenzione: necessaria revisione di tutte le informative già utilizzate per la


verifica della conformità ai principi del Regolamento. Estensione della notifica delle
violazioni dei dati personali (data breach) a tutti i titolari del trattamento (fino ad oggi era
riservata ad alcune categorie di trattamenti).

8
Alcuni aspetti caratterizzanti

7. INTEGRAZIONE CON ALTRI SISTEMI DI GESTIONE AZIENDALI

Descrizione attività: sarà necessario integrare e armonizzare le attività e le


procedure relative al GDPR con altri sistemi di gestione aziendale quali quelli della qualità
UNI EN ISO 9001:2015, 14001:2015, 27001, …), il D.Lgs 231/2001, le misure per la
prevenzione della corruzione e l’attuazione della trasparenza

Punto di attenzione: attività di coordinamento e integrazione complessa ma di


importanza strategica (BENEFICI)

Benefici:
• Realizzazione di un modello unico di gestione
• Ottimizzazione e semplificazione delle procedure aziendali
• Aumento degli standard di qualità
• Contenimento dei costi

9
Conclusioni

• Il piano dovrà essere adattato alle singole realtà aziendali: la stima dei tempi delle singole attività
dovrà infatti essere valutata nelle specifiche situazioni e sarà dipendente dal numero dei trattamenti
effettuati e dalle attività già svolte per l’attuale codice privacy o per altri modelli organizzativi
aziendali.

• A partire dal piano di sviluppo illustrato il gruppo di lavoro ha redatto le «linee guida per
l’applicazione del Regolamento GDPR alle aziende del Trasporto Pubblico Locale», alle quali si
rimanda per un approfondimento dei vari aspetti trattati in questa presentazione.

• Per realizzare gli adempimenti previsti dal GDPR le aziende dovranno sviluppare in modo organico
quanto illustrato, affrontando complessità organizzative, procedurali e tecnologiche. La data del 25
maggio del 2018 è un punto di arrivo ma rappresenterà anche l’inizio di un grande impegno da
parte delle aziende, le quali dovranno cambiare l’approccio nella gestione dei propri processi e
lavorare sempre nell’ottica del miglioramento continuo.

10
Grazie per la cortese attenzione 

Proto Tilocca
proto.tilocca@ctmcagliari.it