PriMaToo

 

Descrizione del progetto:
Il progetto PriMaToo (Privacy Management Tools) propone lo sviluppo di un innovativo software rivolto alle aziende per gestire tutti gli aspetti della privacy e della sicurezza delle informazioni secondo quanto stabilito dal GDPR

Nello scenario odierno, l’accesso alle informazioni private dei singoli individui o aziende è costantemente messo a rischio dalle minacce di violazione dei sistemi informatici a causa di una non adeguata cyber security.
L’Unione Europea ha deciso di applicare, a partire dal 25 Maggio 2018, a tutti gli Stati membri, il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation – Regolamento UE 2016/679). Il GDPR interesserà solo in Italia oltre 4 milioni di aziende che gestiscono in vari modi i dati personali. Per adeguarsi al GDPR qualsiasi organizzazione e azienda che opera nel territorio europeo e che tratta i dati di individui residenti nei paesi dell’EU dovrà implementare una vasta gamma di misure che riguardano: Responsabilità; Consenso; Sicurezza dei dati; Introduzione di un funzionario per la protezione dei dati; Fuga di dati; Portabilità dei dati.
Le sanzioni previste per le aziende che non rispetteranno tali normative possono arrivare a 20 milioni di Euro o fino al 4% del fatturato annuo di una data azienda. Tuttavia, ad oggi solo 9% delle imprese in Italia ha avviato un progetto strutturato di adeguamento alla normativa GDPR.

L’obiettivo del progetto PriMaToo è perciò quello di sviluppare e commercializzare un software innovativo per le aziende mirato a:

  • Data Protection e digital security
  • Data Privacy management

Il software PriMaToo sarà strutturato in 5 distinti moduli che controlleranno e gestiranno rispettivamente:

i) Analisi dei dati;
ii) Accountability e tempi di conservazione dei dati;
iii) Misure di sicurezza;
iv) Data breach alert;
v) Privacy impact assessment.

La tecnologia proposta e la sua implementazione a livello del territorio laziale porterà la regione a diventare un esempio di innovazione per l’intera Europa, che dovrà affrontare la medesima tipologia di regolamentazione in materia di privacy e data security. Le aziende che adotteranno PriMaToo saranno più tutelate in termini di sicurezza, salvaguardando le potenziali perdite causate dal cyber-attack, e saranno inoltre fuori dal rischio delle ingenti sanzioni che applicherà l’EU a chi non rispetterà i requisiti del GDPR. Inoltre il progetto porterà due aziende come Top CS e C4B a sviluppare il proprio potenziale di business proponendo una soluzione tecnologica e innovativa che porterà entro 3 anni dalla sua commercializzazione ad un fatturato di oltre 2.8 milioni di euro e un aumento di personale di circa il 15%.

Partenariato:

Top CS: Impresa Capofila – Sviluppo software, integrazione e validazione tecnica

TOP Consulting & Services (TOP CS) con sede legale in Via Benedetto Croce, 44 00142 Roma (RM) https://topcs.it/ C.F. e P.I. 06466401004 è un System Integrator che nasce nel 2001, Microsoft Certified Partner dal 2009. La vocazione all’innovazione è un punto cardine della sua mission come dimostrato dai numerosi bandi regionali e nazionali di ricerca e sviluppo vinti negli anni e il recentissimo (18/11/2015) Seal of Excellence Certificate rilasciato dalla Commissione Europea per il progetto “Digital Network Application for Mobile Transport Evolution” realizzato, come capofila, nel quadro di Horizon 2020, il Programma UE Ricerca e Innovazione 2014-2020.La TOP CS mira allo sviluppo e utilizzo di nuove tecnologie, e a tal proposito ritiene che l’organizzazione sia fondamentale per lavorare al meglio in un mercato dinamico e competitivo come questo, e che le persone devono essere valide e motivate. Per questo TOP CS non fa “body rental” mirando invece a formare e fidelizzare i propri
dipendenti in un processo di costante crescita aziendale

C4B – consulenza tecnico-legale in materia di data security e privacy management

C4B con sede legale in Via Andrea Doria 5, 20124 Milano C.F. e P.I. 040509100261 è una società specializzata nell’erogazione di servizi legati all’utilizzo dei dati personali nelle attività economiche. La società offre ai clienti liste di potenziali clienti, svolge analisi organizzative e gestionali, sviluppa soluzioni integrate basate sull’utilizzo di software innovativi per la gestione degli obblighi normativi in ambito di sicurezza digitale. L’obiettivo principale della società è creare valore attraverso i servizi IT, il consulting e la gestione di processi in outsourcing a carattere fortemente innovativo, permettendo ai clienti di sviluppare il loro business nel massimo rispetto etico e legislativo e garantendo la massima sicurezza dei dati come da norme di legge. L’esperienza aziendale permette di analizzare e profilare dati per massimizzarne sicurezza, resa ed efficienza.
L’azienda supporta il cliente in tutte le fasi del suo business: dall’infrastruttura tecnologica ed il management di processi aziendali, al customer relationship management, al data analysis di Customer Base e DB prospect alla costruzione di campagne direct marketing. In questo contesto particolare rilievo acquisisce la gestione controllata dei dati personali e il rispetto delle normative a tutela della riservatezza.
C4b mette a disposizione delle aziende un servizio di consulenza privacy garantito da un team di professionisti e legali altamente specializzati, in grado di portare l’attenzione della privacy ad alti livelli.
Esegue in particolare progetti per l’esecuzione delle valutazioni di impatto del trattamento dei dati, i cosiddetti PIA (Privacy Impact Assessment o valutazione d’impatto sulla privacy). Si tratta di un nuovo strumento che può aiutare le aziende a rispettare gli obblighi della protezione dei dati ed al contempo assecondare le aspettative degli utenti
sul tema privacy. Un PIA efficace permette alle aziende di identificare e risolvere problemi in una fase preliminare, riducendo eventuali costi e danni di reputazione.
Condurre un PIA non è un requisito di legge ma è il metodo più efficace di dimostrare che il trattamento dei dati personali sia conforme alla legge.

Risultati:
Il progetto proposto si basa sulle seguenti attività e obiettivi (WP):
WP1 – Attività di Ricerca Industriale: analisi preliminare di acquisizione know-how. Mesi: 1 – 4 del progetto.
Durante questa prima fase del progetto si farà un’analisi preliminare sugli user requirements, needs specifici e primi schemi tecnici di design del software. Si andrà ad effettuare una valutazione della documentazione legislativa, ed una valutazione ed analisi delle minacce informatiche. Durante la fase di studio preliminare di andrà anche ad effettuare l’analisi dei processi aziendali, partendo dallo studio di alcuni business case. Inoltre, attraverso uno studio specializzato sulla normativa data protection nazionale, europea ed estera si analizzeranno le normative riguardanti la privacy degli utenti diretti definendo dunque le norme e regole di utilizzo del servizio.
Si procederà alla definizione dell’Architettura globale del software PriMaToo, e si delineerà il piano di lavoro da seguire per ottimizzare il lavoro di sviluppo del prodotto innovativo.
WP2: Attività di sviluppo del software e test interno. Mesi: 4 – 10 del progetto.
In questa fase si procederà allo sviluppo del software PriMaToo.
Lo strumento in questione sarà sviluppato in 5 moduli, più uno integrativo, che corrispondono alle singole funzioni di PriMaToo:

  • Modulo 1 – Analisi dei dati: modulo preposto per la conversione dei dati personali in metadati (attribuzione ad ogni singolo dato di liceità correttezza e trasparenza; minimizzazione dei dati; attribuzione dell’esattezza; attribuzione della limitazione della conservazione dei dati; attribuzione di intergrità e riservatezza).
  • Modulo 2 – Accountability e tempi di conservazione dei dati: modulo preposto alla generazione di un Registro delle attività di trattamento dei dati (definizione dei soggetti che possono trattare i dati; definizione dei termini di utilizzo; definizione dei tempi di trattamento dei dati; rilevamento dei soggetti che hanno avuto accesso ai dati).
  • Modulo 3 – Misure di sicurezza: modulo preposto alla generazione di Report periodici sull’attività di trattamento che diano conto del rispetto delle misure di sicurezza adottate.
  • Modulo 4 – Data breach alert: Modulo preposto a segnalare tramite alert anomalie, abusi o utilizzi impropri sulla base dei parametri standard definiti dal gestore del sistema.
  • Modulo 5 – Privacy impact assessment: Modulo preposto a realizzare il Documento di Valutazione d’impatto sulla protezione dei dati (supporto nella realizzazione del privacy impact assessment)
  • Modulo integrativo – Autocertificazione e certificazione di secondo livello: Modulo aggiuntivo per l’autocertificazione dei processi di trattamento e per la definizione di un livello di adeguatezza predefinito.
    Verrà istituito un team di lavoro che si occuperà di sviluppare la piattaforma, curando gli aspetti contenutistici legati alla legislazione della privacy. A seguito si svilupperà il Database che dovrà gestire e contenere i dati scambiati tramite il servizio e al contempo si svilupperanno routine avanzate per gestire questi dati in piena sicurezza e in conformità alle leggi sulla tutela della privacy. Si procederà con lo sviluppo dell’interfaccia utente del software, alla configurazione del sistema e conseguentemente ad integrare i vari strumenti sviluppati nelle precedenti attività.

WP3: Testing e validazione. Mesi: 8 – 12 del progetto.
Questa Attività si svilupperà in parallelo al WP2 e attraverso lo sviluppo di vari cicli permetterà un continuo aggiornamento e perfezionamento del prodotto finale PriMaToo. Il software PriMaToo verrà revisionato e verranno verificate le attività di audit e assessment nell’ambito della protezione dei dati personali con l’obiettivo di valutare se e in quale misura le procedure operative del software soddisfino la conformità ai requisiti normativi sulla Data-Protection. E’ inoltre prevista un’attività dedicata alla definizione del manuale di utilizzo per l’auditor e per gli utenti. Infine, verrà effettuata un’analisi e uno studio dei questionari per valutare l’utilizzo del software di privacy management tool.
A partire dalla prima Release del software al mese 8 si procederà a testarlo (Test di carico, di sicurezza, di funzionalità, bug ecc.) in modo da risolvere gli errori di programmazione. Si prevede di effettuare 6 cicli di test che porteranno a 6 versioni sempre più ottimizzate di PriMaToo, così come è prassi nel settore dello sviluppo software, attraverso un procedimento di body rent e beta test. Le attività di Test avranno una durata sempre minore man mano che il software verrà ottimizzato, permettendo dunque di essere completati nel tempo dei 3 mesi. Inoltre si prevede negli ultimi 2 mesi di attività di far partecipare un gruppo target campione per condurre le attività di Test, in modo da avere anche un riscontro da parte utenti finali e dunque rendere il prodotto perfettamente ottimizzato per le esigenze di mercato, eliminando gli ultimi bug presenti. Infine si porterà avanti il test in ambito reale con 10 aziende utenti finali, e inoltre si valideranno i risultati con 500 aziende tramite questionari.

Sostegno finanziario ricevuto:
La proposta di progetto PrimaToo (CUP F83G17000870007) è stata presentata sull’avviso pubblico “Aerospazio e Sicurezza” di cui alla Det. N. G13676 del 21 novembre 2016 POR FESR LAZIO 2014-2020 – Progetti integrati ed è stato approvato con Determinazione n. G18719 del 28/12/2017 pubblicata sul BURL n. 6 del 18/01/2018
Di seguito riportiamo il dettaglio della sovvenzione totale concessa: