4. ABOUT GDPR (EU LAW)
ABOUT GDPR: “May 25, 2018: a new era begins for data privacy”
“On this date in a little less than a year, the new European Union (EU) data
protection law will be implemented, replacing the old Data Protection
Directive, which has been in effect since 1995. The new law, known as
the General Data Protection Regulation (GDPR), gives individuals greater
control over their personal data and imposes many new obligations on
organizations that collect, handle, or analyze personal data.”
https://ec.europa.eu/info/law/law-topic/data-protection_en
https://edps.europa.eu/data-protection/data-protection/glossary_en
5. GDPR (EU DEFINITION-COMPLIANCE)
One of the key aims of the GDPR is to empower individuals and give them control
over their personal data.
For having a good GDPR-compliance, we need to have features to satisfy at least
these GDPR articles and topics:
Personal / sensitive data discovery
The right to be informed (Articles 12, 13, 14)
The right of access (Article 15)
The right to rectification (Article 16)
The right to erasure (Article 17)
The right to restrict processing (Articles 18, 19)
The right to data portability (Article 20)
Data encryption and destruction (automated)
GDPR activities logging
6. GDPR (EU DEFINITION-COMPLIANCE)
Providing GDPR-related entity management (like Data Protection Officer card,
Administrators or other controllers identification).
Providing a quick way to retrieve sensitive data in the entire database (for example,
if your old contact asks you to retrieve all his sensitive data you have in your system,
you need to have a quick way to retrieve them).
Providing a quick way to rectify sensitive data (for example, change of a contact
data: you need to change this data in the entire database and documents).
Providing a quick and automated way to mask or delete sensitive data (if your old
contact asks you to immediately delete all his sensitive data in your database, you
need to remove them or cypher them).
Provide a way to export all sensitive data of an individual in a standard format(CSV
or XML) for data portability.
Providing a centralized way where launching all these GDPR tasks, log them, log
GDPR incoming requests and action performed on the database.
https://robertostefanettinavblog.com/2018/03/07/all-about-microsoft-gdpr-strategies-with-nav-support/
7. GDPR – COS’E’ ED OBIETTIVO
Cos’è il GDPR e qual è il suo obiettivo?
Nuovo corpo legislative dell’Unione Europea che sostituisce l’attuale direttiva
sulla Privacy 95/46/EC. Il GDPR sarà in vigore a partire da Maggio 2018.
Obiettivo: proteggere i dati personali e regolamentare come le aziende
trattano, conservano e distruggono i dati, quando non sono più richiesti.
- Include anche trasferimenti di dati tra UE e sedi non UE
- Regolamenta cosa succede in caso di fughe di dati personali (Data Breach)
- Stabilisce conseguenze importanti (sanzioni) per le aziende che non
8. GDPR – CHI E’ SOGGETTO
Chi è soggetto al GDPR?
Aziende…
… con una presenza fisica in almeno uno dei paesi membri dell’UE
o
… che processano o immagazzinano dati su persone che risiedono nell’UE
o
… che usando un servizio di terzi che processa or immagazzina informazioni su
persone che risiedono nell’UE (Salesforce, Google Mail, etc.)
Quindi sostanzialmente applica a:
Qualunque azienda con uffici nell’UE —se hanno un computer…
Aziende USA che hanno contatti con aziende UE
… e cioè praticamente tutti!
10. GDPR – LA COMPLIANCE
Il processo di raggiungimento della compliance al GDPR si estende a tutto
l’ambito servito dall’IT
Scopri. Identifica e classifica quali sono i dati personali attualmente gestiti e
dove risiedono.
Gestisci. Governa i dati personali e le modalità di accesso ed utilizzo.
Proteggi. Implementa dei meccanismi di sicurezza per prevenire, identificare e
rispondere alle vulnerabilità ed alle fughe di informazioni.
Controlla e documenta. Osserva i dati, certificali, mantieni la documentazione,
le richieste di accesso.
11. GDPR – DA NON SOTTOVALUTARE
Diritto all’oblio
Sembra semplice… eliminiamo i dati della persona dal database. Ma…non è sufficiente.
Questo include tutti i backup effettuati, esportazioni di dati su altri strumenti (excel, file
di testo, archivi di altro genere), business intelligence…
Portabilità del dato
cit«L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune,
leggibile ed interoperabile i dati personali che lo riguardano e trasmetterli ad un altro
titolare del trattamento…ove tecnicamente fattibile». Esiste(rà) un formato comune per
lo scambio di queste informazioni?
Data retention
In base al principio introdotto della limitazione del periodo di conservazione, il dato
dovrebbe essere conservato solo per il tempo strettamente necessario al suo
trattamento. Non possiamo più «dimenticarci» i dati di una persona nel database se
non li utilizziamo…
12. GDPR – GLI 8 DIRITTI DERIVANTI
1. Diritto a essere Informati
Trasparenza su come i dati personali sono utilizzati
2.Diritto all’Accesso
Accesso ai propri dati, a come sono utilizzati e a qualunque altro dato utilizzato
in combinazione con i vostri.
3.Diritto alla Rettificazione
Diritto a rettificare i dati in caso siano incorretti o incompleti
4.Diritto alla cancellazione (ex diritto all’oblio)
Diritto a che i dati siano cancellati quando non c’è più nessuna ragione valida
per conservarli
13. GDPR – GLI 8 DIRITTI DERIVANTI
5. Diritto a limitare il Trattamento dei dati
Si può consentire che i dati siano immagazzinati ma non processati
6. Diritto alla Portabilità
Potere trasferire i propri dati da un sistema informatico ad un altro senza che il
controllore dei dati possa impedirlo.
7. Diritto a Opporsi
Opporsi al trattamento dei dati
8. Diritto di Contestazione delle decisioni automatizzate (incluso il profiling)
Possono essere contestate le decisioni che hanno impatto personale e che
sono state prese solo utilizzando un algoritmo informatico
14. GDPR – PER LE AZIENDE
Responsabilità e Governance
Adozione di misure tecniche e organizzative appropriate per assicurare la
conformità
Misure Tecniche:
- Politiche e Procedure
- Dati di Auditing
- Consenso
- Base Legale
- Certificazioni
- Crittografia
- Utilizzo di Pseudonimi
15. GDPR – PER LE AZIENDE
Misure Organizzative:
Richiedono l’esistenza di una struttura apposita per la governance e può anche
richiedere un DPO (Data Protection Officer)
Data Protection Officer (per esempio il CSO o Sec Admin)
Obbligatorio solo in caso di Enti Pubblici o aziende che trattano un grande
volume di dati
Controller (per esempio il CIO)
Controlla e assicura che il modo in cui i dati sono trattati è in linea con il GDPR
Processors
Trattano i dati per conto del Controller (agenzia o persona che processa i dati,
impiegato, programmatore, outsourcer, azienda di hosting/cloud)
16. GDPR – PREPARARSI - I 5 PASSI
I 5 PASSI
1. Identificare quali dati sono utilizzati e conservati
2. Creare un sistema di responsabilità chiare
3. Aggiornamento e verifica periodica delle policies e procedure
4. Adozione del GDPR come parte integrante del lavoro di tutta l’azienda
5. Prepararsi a una fuga di dati
17. GDPR – PREPARARSI - I 5 PASSI - 1
1. Identificare quali dati sono utilizzati e conservati
Assicuratevi di sapere quali dati avete (spesso si processano molti più dati di
quanto si pensi)
Rivedete perché state conservando quei dati personali e se non sono necessari
cancellateli!
Utilizzate sinonimi: tecnologie che permettono di rendere i dati personali non
riconoscibili (come per esempio la crittografia) o non riconducibili ad un
individuo (pseudonimi)
Documentate da dove provengono i dati
Documentate le terze parti con cui avete condiviso i dati
18. GDPR – PREPARARSI - I 5 PASSI - 2
2. Creare un sistema di responsabilità chiare
Documentate un organigramma della struttura adibita alla governance
Assegnate o assumete personale per occuparsi dei nuovi compiti
DPO, Data Protection Officer (CSO o security admin)
Aumentate la consapevolezza interna
Formazione per gli impiegati
19. GDPR – PREPARARSI - I 5 PASSI - 3
3. Aggiornamento e verifica periodica delle policies e procedure
Verificate le policies per assicurarsi che siano sempre aggiornate
Comunicate chiaramente i diritti derivanti dal GDPR, in particolare:
Diritto all’accesso
Diritti legali e tempo di ritenzione
Diritto alla rettificazione
Assicuratevi che le politiche siano di facile accesso
Implementate un piano di miglioramento continuo
20. GDPR – PREPARARSI - I 5 PASSI - 4
4. Adozione del GDPR come parte integrante del lavoro di tutta l’azienda
Verifica continua dei possibili rischi
Identificazione delle aree ad alto rischio non ancora coperte
“Privacy by design”
Minimizzate i dati personali (ne abbiamo davvero bisogno?)
21. GDPR – PREPARARSI - I 5 PASSI - 5
5. Prepararsi a una fuga di dati
Come si riconosce una fuga di dati?
72 ore (“tempo ragionevole” , NON è subito..)
Politica chiare di notificazione di una fuga di dati
Come potete interrompere la fuga ed evitare che succeda di nuovo?
22. GDPR – FUGA DI DATI (SANZIONI)
«Sanzioni»
1.Fino a €10M (o 2% della fatturazione mondiale)
Mancato ottenimento del consenso da parte del Soggetto a processare i suoi dati personali
Mancata implementazione di misure tecniche e organizzative per garantire la protezione dei
dati
Mancato documentazione delle misure
Mancata comunicazione delle fughe di dati al EDPB (European Data Protection Board) nei
casi previsti
2.Fino a €20M (o 4% della fatturazione mondiale)
Mancata ottemperanza di una disposizione di un’authority di supervisione.
Mancata ottemperanza delle regole previste dal GDPR per i trasferimenti internazionali di
dati
Mancata ottemperanza ai principi basici del trattamento dei dati, incluso le il consenso
24. Summary of ALL Publications by TOPICS («ALL LINKS»)
ABOUT GDPR
GDPR on PARTNER NETWORK
GDPR for AZURE
GDPR for SQL SERVER
GDPR for OFFICE 365
GDPR for CLOUD
GDPR ASSESMENTS PAGES
GDPR COMPLIANCE MANAGER
GDPR for DYNAMICS NAV
https://robertostefanettinavblog.com/?s=gdpr
https://robertostefanettinavblog.com/2018/03/07/all-about-microsoft-gdpr-strategies-with-
nav-support/
GDPR Microsoft Strategies “ALL LINKS”
26. GDPR for Dynamics NAV
Dynamics NAV can, however, help you meet your GDPR obligations. To this end,
and as further described below, Microsoft is adding new features to Dynamics NAV
that, when combined with existing capabilities in Dynamics NAV, will assist with
GDPR compliance.
“The March 2018 cumulative updates, for the Microsoft-localized and W1
versions of Dynamics NAV 2015, Dynamics NAV 2016, Dynamics NAV 2017, and
Dynamics NAV 2018, are the first to add new tools that can help you fulfill your
GDPR obligations.“
27. GDPR for Dynamics NAV – PORTAL & LINKS
NAV GDPR PORTAL
https://blogs.msdn.microsoft.com/nav/2017/12/21/make-your-dynamics-nav-solution-gdpr-compliant/
NAV GDPR WHITPAPER (Release v1.0)
https://servicetrust.microsoft.com/ViewPage/TrustDocuments?command=Download&downloadType=Document&
downloadId=cc632c1c-15b7-42d1-879f-487f9592ee53&docTab=6d000410-c9e9-11e7-9a91-
892aae8839ad_FAQ_and_White_Papers
NAV GDPR ON MSDN
https://docs.microsoft.com/it-it/dynamics365/get-started/gdpr/
https://www.microsoft.com/en-us/trustcenter
MY GDPR POSTS
https://robertostefanettinavblog.com/?s=gdpr
https://robertostefanettinavblog.com/2018/03/07/all-about-microsoft-gdpr-strategies-with-nav-support/
28. GDPR for Dynamics NAV – Key GDPR Steps
Key GDPR Steps
Discover—identify what personal data you have and where it resides.
Manage—govern how personal data is used and accessed.
Protect—establish security controls to prevent, detect, and respond to vulnerabilities and data
breaches.
Report—execute on data requests, report data breaches, and keep required documentation.
These tools include capabilities to help you achieve the following:
Discover - Identify and classify personal data
Manage - Data subject right (DSR)
Manage - Export data subject’s personal data
Manage - Delete data subject's personal data
Manage - Modify data subject's personal data
Manage - Mark people, customers, and vendors as blocked due to privacy
Manage - Provide detailed notice of processing activities to data subjects
Protect - Detect and respond to data breaches
Protect - Facilitate regular testing of security measures
Report - Maintain and report on audit trails to show GDPR compliance
30. GDPR for Dynamics NAV – DATA Classification
Starting with the March cumulative updates, as a partner, you will be able to classify table
fields by assigning data classifications such as: customer content, end user identifiable
information, organization identifiable data, or system metadata.
To classify the fields that hold personal data, partners can set the Supporting Your Data
Classification property on the field. This requires access to the database tables, either through
the Dynamics NAV development environment, or by running a Windows PowerShell script.
“This data classification feature will help you, as the customer, to categorize any personal data
that you have.”
For example, the solution includes a table, My Table, with three fields, Name, Email, and Last
Modified By. The partner classifies the Name and Email fields as Customer Content and the Last
Modified By field as EndUserIdentifiableInformation. Then, you, as the customer, can use this
information to determine if personal data persists in this table.
31. GDPR for Dynamics NAV – DATA Classification
IN ACTION: “AS CUSTOMER”
As a customer, you will be able to further define or refine the data classification in the new
Data Classification Worksheet by setting the data sensitivity, such as Sensitive, Personal,
Confidential or Normal, to document what kind of data you store in standard and custom
fields.
Using the Data Classification Worksheet, you can set the data sensitivity in Excel, for example.
Most personal data is likely, but not exclusively, residing in one of the following tables in
Dynamics NAV:
• Customer
• Vendor
• Contact (when of type Person)
• Employee
• Salespeople/Purchaser
• Resource (when of type Person)
• User
... Etc, etc. + CUSTOM TABLES
32. GDPR for Dynamics NAV – NEXT UPDATES SOON
NEXT UPDATES SOON….
IN NEXT CUs
STAY TUNED !
33. GDPR for SQL Server
GDPR FOR DATABASES (great doc)
https://www.slideshare.net/gax700/la-gestione-dei-database-
secondo-il-gdpr-sql-server
34. GDPR for DATABASES – COSA PROTEGGERE ?
COSA PROTEGGERE ?
• Nome e Cognome
• Numeri e codici identificativi (Codice fiscale, numero della tessera sanitaria,…)
• Email
• Matricole
• Nicknames utilizzati on-line (un sacco di socials...)
• Informazioni relative alla sfera fisica, fisiologica o genetica (biometriche)
• Informazioni mediche, localizzazione geografica, bancarie
• Profilo culturale e religioso
• Reddito, bancarie
• Indirizzi IP, Cookies
Etc. etc.
… altre informazioni
35. GDPR for DATABASES – COSA CONTIENE DATI P. ?
COSA PUO’ CONTENERE DATI PERSONALI ?
• GestionaliERP (che dovrebbero avere un supporto GDPR proprietario ad hoc)
• Sales force automation
• Posta elettronica
• Portale e-commerce
• Gestione Paghe
• Integrazioni B2C, B2B
• CRM
• Interfacce ed integrazioni varie
• Software di PM & Gestione Ore
• Ticketing Systems
... etc. etc....
• Fogli di exceltavelle pivotcubi di dati nel file system
• Altri database, tabelle satellite, interfacce varie
... etc. etc....
36. GDPR for DATABASES – MASCHERAMENTO E DRLS
MASCHERAMENTO
Il Mascheramento limita l’esposizione di dati sensibili mascherandogli stessi agli
utenti o alle applicazioni non autorizzate.
La protezione del dato è eseguita dal motore del database e funziona «on the fly»
con un impatto minimo a livello di prestazioni. I dati all’interno delle tabelle
rimangono in chiaro.
DATA ROW-LEVEL SECURITY (DRLS)
Il DRLS limita l’accesso alle righe di una tabella del database in base ai privilegi
assegnati all’utente che esegue la query.
37. GDPR for DATABASES – DATAWAREHOUSE E BI
DATAWAREHOUSE E BI
Nel DataWarehouse e nella BI I dati sono gestiti in modo aggregato.
Potremmo però aver bisogno di estrarre informazioni relative all’età, genere,
localizzazione geografica; possiamo utilizzare tecniche per filtrare (quando
possibile) le informazioni.
ESEMPIO: In un DataWarehouse sulle vendite non posso applicare filtri a
priori oppure tecniche per il mascheramento.
A volte ci possono essere molti scambi di dati anche bidirezionali tra ambienti
BI e ERP
38. GDPR for SQL Server - LINKS
GDPR SQL SERVER – LINKS
SQL SERVER and GDPR whitepaper
https://aka.ms/gdprsqlwhitepaper
Guida all'ottimizzazione della privacy e alla conformità ai requisiti RGPD con la
piattaforma Microsoft SQL
https://docs.microsoft.com/it-it/sql/relational-databases/security/microsoft-sql-
and-the-gdpr-requirements
SQL AZURE GDPR QUESTIONS
https://azure.microsoft.com/it-it/blog/gdpr-questions-azure-has-answers/