TUTELA DATI E GESTIONE PRIVACY: NASCE IL PROGETTO PriMaTools

L’iniziativa ideata da C4B, Top C&S e dallo studio legale Lucerna Iuris ha ottenuto un finanziamento della Regione Lazio per l’innovazione

SCOPRI L'INIZIATIVA

Il nuovo Regolamento Generale Europeo sulla tutela dei dati personali (679/2016 noto anche come GDPR) ha creato nelle aziende grandi preoccupazioni: riconosce l’importanza del patrimonio dati che esse gestiscono, tutela la privacy in modo più efficace, ma le mette di fronte a nuove responsabilità difficili da valutare e gestire.
Eppure la corretta gestione dei dati personali di prospect, clienti, fornitori, personale è una necessità inderogabile per lo sviluppo di un’azienda. I dati personali oggi sono la materia prima delle attività commerciali e di marketing, e rappresentano un patrimonio che l’azienda deve tutelare e far crescere al pari del proprio know how.
Quasi tutte le aziende, in prossimità della scadenza del 25 maggio 2018, hanno cercato di adeguarsi, concentrandosi sulle modifiche alle informative e alla richiesta del consenso. Ma sbagliava chi ha pensato di esaurire così i propri compiti, perché con l’applicazione del GDPR è diventato essenziale riprogettare l’intero processo di tutela dei dati personali e dimostrare di aver effettuato una completa analisi dei rischi connessi al loro trattamento.

Il GDPR richiede infatti di agire subito non solo sull’acquisizione del consenso, ma sull’intera gestione dei dati. Le cose da fare non sono, obiettivamente, né poche né semplici: occorre mappare le proprie banche dati, ripensare i processi di trattamento, dimostrare qual’è il valore dalle informazioni di cui si dispone, tutelare i diritti degli interessati, introdurre nuove figure (il Data Privacy Officer), tenere un registro di tutti i trattamenti, predisporre il documento di valutazione di impatto del trattamento e misure per la sicurezza dei dati. La richiesta più impegnativa del GDPR è l’attuazione del “Privacy Program”, che implica una serie di attività spesso del tutto nuove per le aziende, che di fronte a questi scenari non possono essere lasciate sole e senza strumenti.

È quindi con l’obiettivo di rendere più semplice e sicura la gestione del processo della privacy e del trattamento dati che nasce il progetto PriMaTools (Privacy Management Tools), una suite software che facilita l’adeguamento agli standard previsti dal regolamento GDPR e crea in modo guidato un Privacy Program personalizzato. Vincitore di un importante finanziamento regionale dedicato alle iniziative più innovative nell’ambito della sicurezza aziendale, il progetto PriMaTools nasce da un’idea di uno dei più rinomati  studi legali  europei sul tema GDPR (Maglio & Partners – fondatore di Lucerna Iuris – European Legal Network che riunisce dal 2001 studi legali specializzati nella data protection), da C4B Srl (azienda operante nei servizi di direct marketing e di consulenza volta al miglioramento dei processi retail) e da TOP C. & S. (system integrator nell’IT per il marketing e fondatore del gruppo Stay Human che opera nelle tecnologie digitali e nel CRM).
Il software supporterà il titolare del trattamento dei dati nel progetto e nell’attuazione dei modelli necessari per il trattamento in compliance con il GDPR.

PriMaTools è pensato per intervenire su tutte le fasi necessarie per gestire in modo completo il Privacy Program, derivante da una fase di assessment ai processi aziendali. L’intervento operativo sarà facilitato dalla struttura in moduli, dedicati alle specifiche attività necessarie per rispettare la norma.

La proposta di progetto PriMaToo (CUP F83G17000870007) è stata presentata sull’avviso pubblico “Aerospazio e Sicurezza” di cui alla Det. N. G13676 del 21 novembre 2016 POR FESR LAZIO 2014-2020 – Progetti integrati ed è stato approvato con Determinazione n. G18719 del 28/12/2017 pubblicata sul BURL n. 6 del 18/01/2018.

Descrizione del progetto:

Il progetto PriMaToo propone lo sviluppo di un innovativo software, Privacy Management Tools, rivolto alle aziende per gestire tutti gli aspetti della privacy e della sicurezza delle informazioni secondo quanto stabilito dal GDPR.

Nello scenario odierno, l’accesso alle informazioni private dei singoli individui o aziende è costantemente messo a rischio dalle minacce di violazione dei sistemi informatici e degli archivi di dati a causa di una non adeguata cyber security e organizzazione di protezione dei dati.

L’Unione Europea ha reso attuativo, a partire dal 25 Maggio 2018, a tutti gli Stati membri, il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation – Regolamento UE 2016/679), già in vigore dal 2016. Il GDPR interesserà solo in Italia oltre 4 milioni di aziende che gestiscono in vari modi i dati personali. Per adeguarsi al GDPR qualsiasi organizzazione e azienda che opera nel territorio europeo e che tratta i dati di individui residenti nei paesi dell’EU dovrà implementare una vasta gamma di misure che riguardano: Responsabilità; Consenso; Sicurezza dei dati; Introduzione di un ruolo organizzativo per la protezione dei dati; Gestione dei Diritti degli Interessati.

Le sanzioni previste per le aziende che non rispetteranno tali normative possono arrivare a 20 milioni di Euro o fino al 4% del fatturato annuo di una data azienda. Tuttavia, ad oggi solo 9% delle imprese in Italia ha avviato un progetto strutturato di adeguamento alla normativa GDPR.

L’obiettivo del progetto PriMaToo è perciò quello di sviluppare e commercializzare un software innovativo per le aziende mirato a:

  • Data Protection e digital security
  • Data Privacy Management

Il software PriMaToo sarà strutturato in 5 distinti moduli che controlleranno e gestiranno rispettivamente:

  1. Analisi dei dati;
  2. Accountability e tempi di conservazione dei dati;
  3. Misure di sicurezza;
  4. Data Breach Alert;
  5. Privacy Impact Assessment.

La tecnologia proposta e la sua implementazione a livello del territorio laziale porterà la regione a diventare un esempio di innovazione per l’intera Europa, che dovrà affrontare la medesima tipologia di regolamentazione in materia di privacy e data security. Le aziende che adotteranno PriMaToo saranno più tutelate in termini di sicurezza, salvaguardia delle potenziali perdite causate dal cyber-attack, e saranno inoltre maggiormente protette dal rischio delle ingenti sanzioni applicate dall’EU a chi non rispetterà i requisiti del GDPR. Inoltre il progetto porterà due aziende come Top CS e C4B a sviluppare il proprio potenziale di business proponendo una soluzione tecnologica e innovativa che porterà entro 3 anni dalla sua commercializzazione ad un fatturato di oltre 2.8 milioni di euro e un aumento di personale di circa il 15%.

Partenariato:

Top CS: Impresa Capofila – Sviluppo software, integrazione e validazione tecnica

TOP Consulting & Services (TOP CS) con sede legale in Via Benedetto Croce, 44 00142 Roma (RM) https://topcs.it/ C.F. e P.I. 06466401004 è un System Integrator che nasce nel 2001, Microsoft Certified Partner dal 2009. La vocazione all’innovazione è un punto cardine della sua mission come dimostrato dai numerosi bandi regionali e nazionali di ricerca e sviluppo vinti negli anni e il recentissimo (18/11/2015) Seal of Excellence Certificate rilasciato dalla Commissione Europea per il progetto “Digital Network Application for Mobile Transport Evolution” realizzato, come capofila, nel quadro di Horizon 2020, il Programma UE Ricerca e Innovazione 2014-2020.La TOP CS mira allo sviluppo e utilizzo di nuove tecnologie, e a tal proposito ritiene che l’organizzazione sia fondamentale per lavorare al meglio in un mercato dinamico e competitivo come questo, e che le persone devono essere valide e motivate. Per questo TOP CS non fa “body rental” mirando invece a formare e fidelizzare i propri dipendenti in un processo di costante crescita aziendale

C4B – consulenza tecnico-legale in materia di data security e privacy management

C4B Srl con sede legale in Via Andrea Doria 5, 20124 Milano (MI) https://consulting4business.it/ C.F. e P.I. 040509100261 è una società specializzata nell’erogazione di servizi finalizzati all’ottimizzazione dell’utilizzo dei dati personali nelle attività economiche. La società offre ai clienti liste di potenziali clienti, offre consulenza in ambito organizzativo e gestionale, sviluppa soluzioni integrate basate sull’utilizzo di software innovativi per la gestione degli obblighi normativi in ambito di data protection e di sicurezza digitale. L’obiettivo principale della società è creare valore attraverso i servizi IT, il consulting e la gestione di processi in outsourcing a carattere fortemente innovativo, permettendo ai clienti di sviluppare il loro business nel massimo rispetto etico e legislativo e garantendo la massima sicurezza dei dati come da norme di legge. L’esperienza aziendale permette di analizzare e profilare dati per massimizzarne sicurezza, resa ed efficienza.

L’azienda supporta il cliente in tutte le fasi del suo business: dall’infrastruttura tecnologica alla gestione di processi aziendali, al customer relationship management, al data analysis di Customer Base e DB prospect alla costruzione di campagne direct marketing. In tale contesto, particolare rilievo acquisisce la gestione controllata dei dati personali e il rispetto delle normative a tutela della riservatezza.


C4b mette a disposizione delle aziende un servizio di consulenza privacy garantito da un team di professionisti e legali altamente specializzati, in grado di portare l’attenzione della privacy ad alti livelli.
Esegue in particolare progetti per l’esecuzione delle valutazioni di impatto del trattamento dei dati, i cosiddetti PIA (Privacy Impact Assessment o valutazione d’impatto sulla privacy). Si tratta di un nuovo strumento che può aiutare le aziende a rispettare gli obblighi della protezione dei dati ed al contempo assecondare le aspettative degli utenti sul tema privacy. Un PIA efficace permette alle aziende di identificare e risolvere problemi in una fase preliminare, riducendo eventuali costi e danni di reputazione.

Risultati:
Il progetto proposto si basa sulle seguenti attività e obiettivi (WP):


WP1 – Attività di Ricerca Industriale: analisi preliminare di acquisizione know-how. Mesi: 1 – 4 del progetto.

Durante questa prima fase del progetto si farà un’analisi preliminare sugli user requirements, needs specifici e primi schemi tecnici di design del software. Si andrà ad effettuare una valutazione della documentazione legislativa, ed una valutazione ed analisi delle minacce informatiche. Durante la fase di studio preliminare di andrà anche ad effettuare l’analisi dei processi aziendali, partendo dallo studio di alcuni business case. Inoltre, attraverso uno studio specializzato sulla normativa data protection nazionale, europea ed estera si analizzeranno le normative riguardanti la privacy degli utenti diretti definendo dunque le norme e regole di utilizzo del servizio.

Si procederà alla definizione dell’Architettura globale del software PriMaToo, e si delineerà il piano di lavoro da seguire per ottimizzare il lavoro di sviluppo del prodotto innovativo.

WP2: Attività di sviluppo del software e test interno. Mesi: 4 – 10 del progetto.


In questa fase si procederà allo sviluppo del software PriMaToo.


Lo strumento in questione sarà sviluppato in 5 moduli, più uno integrativo, che corrispondono alle singole funzioni di PriMaToo:

  • Modulo 1 – Analisi dei dati: modulo preposto per la conversione dei dati personali in metadati (attribuzione ad ogni singolo dato di liceità correttezza e trasparenza; minimizzazione dei dati; attribuzione dell’esattezza; attribuzione della limitazione della conservazione dei dati; attribuzione di intergrità e riservatezza).
  • Modulo 2 – Accountability e tempi di conservazione dei dati: modulo preposto alla generazione di un Registro delle attività di trattamento dei dati (definizione dei soggetti che possono trattare i dati; definizione dei termini di utilizzo; definizione dei tempi di trattamento dei dati; rilevamento dei soggetti che hanno avuto accesso ai dati).
  • Modulo 3 – Misure di sicurezza: modulo preposto alla generazione di Report periodici sull’attività di trattamento che diano conto del rispetto delle misure di sicurezza adottate.
  • Modulo 4 – Data breach alert: Modulo preposto a segnalare tramite alert anomalie, abusi o utilizzi impropri sulla base dei parametri standard definiti dal gestore del sistema.
  • Modulo 5 – Privacy impact assessment: Modulo preposto a realizzare il Documento di Valutazione d’impatto sulla protezione dei dati (supporto nella realizzazione del privacy impact assessment)
  • Modulo integrativo – Autocertificazione e certificazione di secondo livello: Modulo aggiuntivo per l’autocertificazione dei processi di trattamento e per la definizione di un livello di adeguatezza predefinito.
    Verrà istituito un team di lavoro che si occuperà di sviluppare la piattaforma, curando gli aspetti contenutistici legati alla legislazione della privacy. A seguito si svilupperà il Database che dovrà gestire e contenere i dati scambiati tramite il servizio e al contempo si svilupperanno routine avanzate per gestire questi dati in piena sicurezza e in conformità alle leggi sulla tutela della privacy. Si procederà con lo sviluppo dell’interfaccia utente del software, alla configurazione del sistema e conseguentemente ad integrare i vari strumenti sviluppati nelle precedenti attività.

WP3: Testing e validazione. Mesi: 8 – 12 del progetto.


Questa Attività si svilupperà in parallelo al WP2 e attraverso lo sviluppo di vari cicli permetterà un continuo aggiornamento e perfezionamento del prodotto finale PriMaToo. Il software PriMaToo verrà revisionato e verranno verificate le attività di audit e assessment nell’ambito della protezione dei dati personali con l’obiettivo di valutare se e in quale misura le procedure operative del software soddisfino la conformità ai requisiti normativi sulla Data-Protection. E’ inoltre prevista un’attività dedicata alla definizione del manuale di utilizzo per l’auditor e per gli utenti. Infine, verrà effettuata un’analisi e uno studio dei questionari per valutare l’utilizzo del software di privacy management tool.


A partire dalla prima Release del software al mese 8 si procederà a testarlo (Test di carico, di sicurezza, di funzionalità, bug ecc.) in modo da risolvere gli errori di programmazione. Si prevede di effettuare 6 cicli di test che porteranno a 6 versioni sempre più ottimizzate di PriMaToo, così come è prassi nel settore dello sviluppo software, attraverso un procedimento di body rent e beta test. Le attività di Test avranno una durata sempre minore man mano che il software verrà ottimizzato, permettendo dunque di essere completati nel tempo dei 3 mesi. Inoltre si prevede negli ultimi 2 mesi di attività di far partecipare un gruppo target campione per condurre le attività di Test, in modo da avere anche un riscontro da parte utenti finali e dunque rendere il prodotto perfettamente ottimizzato per le esigenze di mercato, eliminando gli ultimi bug presenti. Infine si porterà avanti il test in ambito reale con 10 aziende utenti finali, e inoltre si valideranno i risultati con 500 aziende tramite questionari.

Sostegno finanziario ricevuto:


La proposta di progetto PrimaToo (CUP F83G17000870007) è stata presentata sull’avviso pubblico “Aerospazio e Sicurezza” di cui alla Det. N. G13676 del 21 novembre 2016 POR FESR LAZIO 2014-2020 – Progetti integrati ed è stato approvato con Determinazione n. G18719 del 28/12/2017 pubblicata sul BURL n. 6 del 18/01/2018.


Di seguito riportiamo il dettaglio della sovvenzione totale concessa:

CONTACTS & ANSWERS:

La soluzione a misura delle tue esigenze

Contattaci