SlideShare a Scribd company logo

#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti

EuroPrivacy
EuroPrivacy

Le Slide dell'intervento di Giancarlo Butti alla giornata #Ready4EUdataP organizzata da Europrivacy

Law
1 of 13
Download to read offline
Privacy by Design: effetti pratici sui sistemi IT GIANCARLO BUTTI Milano, 29 GENNAIO 2016 #READY4EUDATAP
#READY4EUDATAP L’evoluzione Ideato dall’ Information and Privacy Commissioner dell’ Ontario Recepito nel 2010 dalla 32a Conferenza Internazionale dei Garanti privacy Recepito come privacy by design e by default dal Regolamento UE
#READY4EUDATAP (61 The protection of the rights and freedoms of individuals with regard to the processing of personal data require that appropriate technical and organisational measures are taken to ensure that the requirements of this Regulation are met. In order to be able to demonstrate compliance with this Regulation, the controller should adopt internal policies and implement measures, which meet in particular the principles of data protection by design and data protection by default. Such measures could consist inter alia of •minimising the processing of personal data •pseudonymising personal data as soon as possible •transparency with regard to the functions and processing of personal data, •enabling the data subject to monitor the data processing •enabling the controller to create and improve security features. When developing, designing, selecting and using applications, services and products that are either based on the processing of personal data or process personal data to fulfil their task, producers of the products, services and applications should be encouraged to take into account the right to data protection when developing and designing such products, services and applications and, with due regard to the state of the art, to make sure that controllers and processors are able to fulfil their data protection obligations. The principles of data protection by design and by default should also be taken into consideration in the context of public tenders. Il Regolamento UE …controller should adopt internal policies and implement measures… •minimising the processing of personal data •pseudonymising personal data as soon as possible •transparency with regard to the functions and processing of personal data •enabling the data subject to monitor the data processing •enabling the controller to create and improve security features …producers of the products, services and applications should be encouraged to take into account the right to data protection…
#READY4EUDATAP Article 23 Data protection by design and by default 1. Having regard to the state of the art and the cost of implementation and taking account of the nature, scope, context and purposes of the processing as well as the risks of varying likelihood and severity for rights and freedoms of individuals posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data protection principles, such as data minimisation, in an effective way and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects. 2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed; this applies to the amount of data collected, the extent of their processing, the period of their storge and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of individuals. 2a. An approved certification mechanism pursuant to Article 39 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2. Il Regolamento UE …technical and organisational measures, such as pseudonymisation, which are designed to implement data protection principles, such as data minimisatio… The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed;
#READY4EUDATAP Art. 3. Principio di necessità nel trattamento dei dati I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità. Art. 11. Modalità del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono: … d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. La situazione attuale Autorizzazione n. 1/2014 - Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro … Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice Art. 3. Principio di necessità nel trattamento dei dati I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi… Art. 11. Modalità del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono: … d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario
#READY4EUDATAP I principi fondamentali 1. Proactive not Reactive; Preventative not Remedial The Privacy by Design (PbD) approach is characterized by proactive rather than reactive measures. It anticipates and prevents privacy invasive events before they happen. PbD does not wait for privacy risks to materialize, nor does it offer remedies for resolving privacy infractions once they have occurred — it aims to prevent them from occurring. In short, Privacy by Design comes before-the-fact, not after. 2. Privacy as the Default Setting We can all be certain of one thing — the default rules! Privacy by Design seeks to deliver the maximum degree of privacy by ensuring that personal data are automatically protected in any given IT system or business practice. If an individual does nothing, their privacy still remains intact. No action is required on the part of the individual to protect their privacy — it is built into the system, by default. 3. Privacy Embedded into Design Privacy by Design is embedded into the design and architecture of IT systems and business practices. It is not bolted on as an add-on, after the fact. The result is that privacy becomes an essential component of the core functionality being delivered. Privacy is integral to the system, without diminishing functionality. 4. Full Functionality — Positive-Sum, not Zero-Sum Privacy by Design seeks to accommodate all legitimate interests and objectives in a positive-sum “win-win” manner, not through a dated, zero-sum approach, where unnecessary trade-offs are made. Privacy by Design avoids the pretense of false dichotomies, such as privacy vs. security, demonstrating that it is possible to have both. 5. End-to-End Security — Full Lifecycle Protection Privacy by Design, having been embedded into the system prior to the first element of information being collected, extends securely throughout the entire lifecycle of the data involved — strong security measures are essential to privacy, from start to finish. This ensures that all data are securely retained, and then securely destroyed at the end of the process, in a timely fashion. Thus, Privacy by Design ensures cradle to grave, secure lifecycle management of information, end-to-end. 6. Visibility and Transparency — Keep it Open Privacy by Design seeks to assure all stakeholders that whatever the business practice or technology involved, it is in fact, operating according to the stated promises and objectives, subject to independent verification. Its component parts and operations remain visible and transparent, to users and providers alike. Remember, trust but verify. 7. Respect for User Privacy — Keep it User-Centric Above all, Privacy by Design requires architects and operators to keep the interests of the individual uppermost by offering such measures as strong privacy defaults, appropriate notice, and empowering user-friendly options. Keep it user-centric. Information and Privacy Commissioner of Ontario Web: www.ipc.on.ca • www.privacybydesign.ca 1. Proactive not Reactive; Preventative not Remedial 2. Privacy as the Default Setting 3. Privacy Embedded into Design 4. Full Functionality — Positive-Sum, not Zero-Sum 5. End-to-End Security — Full Lifecycle Protection 6. Visibility and Transparency — Keep it Open 7. Respect for User Privacy — Keep it User-Centric
#READY4EUDATAP Ripensare il modo di progettare BY DESIGN e RE DESIGN Oggi il coinvolgimento degli aspetti privacy avviene (se avviene…) alla conclusione della progettazione/realizzazione di un prodotto/servizio e riguarda in genere solo aspetti formali (informative, clausole contrattuali…) Con il nuovo Regolamento UE la valutazione degli impatti privacy (PIA) e la valutazione degli interventi tecnici (oltre che organizzativi e formali) deve avvenire dalla fase di progettazione Data Oriented Strategies Minimise Hide Separate Aggregate Process Oriented Strategies Inform Control Enforce Demonstrate
#READY4EUDATAP Esempio Implementazione di soluzioni di Firma grafometrica PROATTIVO NON REATTIVO; PREVENIRE NON CORREGGERE - PRIVACY COME IMPOSTAZIONE DI DEFAULT - PRIVACY INCORPORATA NELLA PROGETTAZIONE Un progetto di firma grafometrica, tipo particolare di FEA, è pensato da subito nel rispetto della privacy degli interessati in quanto deve sottostare oltre che a normative specifiche (CAD e Regole tecniche) anche al Provvedimento del Garante privacy sui dati biometrici. SICUREZZA FINO ALLA FINE − PIENA PROTEZIONE DEL CICLO VITALE Sono previste misure per la crittografia dei dati biometrici sin dal momento della loro raccolta e per tutto il loro processo di elaborazione e conservazione. L’accesso ai dati biometrici può avvenire solo ricorrendo a terzi (le chiavi di accesso ai dati non sono nella disponibilità del Titolare). I dati in chiaro non sono conservati, neanche per periodi limitati, sui dispositivi hardware utilizzati per la raccolta. La trasmissione dei dati biometrici tra sistemi avviene esclusivamente tramite canali di comunicazione crittografati. VISIBILITÀ E TRASPARENZA − MANTENERE LA TRASPARENZA •Il Titolare è obbligato a Informare l’utente su: •le caratteristiche del sistema •le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto dalla normativa pubblicando anche sul sito internet tutte le precedenti informazioni •L’utente deve accettare le condizioni del servizio e può revocarlo •Vi è una connessione univoca della firma al firmatario ed un controllo esclusivo del firmatario del sistema di generazione della firma •Vi è un obbligo di segnalazione sulla violazioni dei dati o su incidenti informatici MASSIMA FUNZIONALITÀ − VALORE POSITIVO, NON VALORE ZERO - RISPETTO PER LA PRIVACY DELL’UTENTE − CENTRALITÀ DELL’UTENTE La soluzione è win-win sia per l’interessato sia per il Titolare •L’utente non deve disporre di alcuno strumento particolare •Il tipo di esperienza nell’apposizione della firma è simile a quello della firma tradizionale •La riconoscibilità della firma in caso di contenzioso è più elevata rispetto a quella tradizionale in quanto vengono archiviati un maggior numero di parametri; sia l’interessato, sia il Titolare sono quindi maggiormente tutelati •Vi è un risparmio sulla stampa dei documenti e sulla loro archiviazione •Viene eliminato il rischio di perdita di documenti • Librerie software ed implementazioni pensate per proteggere il dato biometrico nell’intero ciclo di vita • Massima trasparenza per il cliente che può accettarne o meno l’uso sul singolo documento • Pubblicità della soluzione implementata dal punto di vista tecnico ed organizzativo sul sito del Titolare che adotta tale soluzione • Vantaggi sia per il Titolare, sia per il cliente
#READY4EUDATAP Framework di riferimento: gli aspetti ICT 2 Engineering Privacy 2.1 Prior art on privacy engineering 2.2 Deriving privacy and data protection principles from the legal framework 2.3 Definition of the context and objectives 2.4 Methodologies 2.5 Evaluation means 3 Privacy Design Strategies 3.1 Software design patterns, strategies, and technologies 3.2 Eight privacy design strategies 4 Privacy Techniques 4.1 Authentication 4.2 Attribute based credentials 4.3 Secure private communications 4.4 Communications anonymity and pseudonymity 4.5 Privacy in databases 4.6 Technologies for respondent privacy: statistical disclosure control 4.7 Technologies for owner privacy: privacy-preserving data mining 4.8 Technologies for user privacy: private information 4.9 Storage privacy 4.10 Privacy-preserving computations 4.11 Transparency-enhancing techniques acy: private information
#READY4EUDATAP Framework di riferimento GoalsGoals Balance • Benefits • Risks • Optimal resource management Stakeholder • Consult • Comunicate Perf. Measurement • Goals KPI’s OperateOperate Where • Processes /Practice / Activity • Principles – Policies • Systems • Persons • Organization • Available Information • Culture / ethic How • Base Practices / Activities • Universally accepted • Based on Standards • Priority based on Business Goals Life cycleLife cycle EVALUATE, DIRECT AND MONITOR PLAN AND ORGANIZE DESIGN/ BUILD / ACQUIRE USE / OPERATE MONITOR / CONTROL ResponsibilityResponsibility ROLES • BOARD • BUSINESS • IT / IS • AUDIT ACTIVITY • R esponsible • A ccountable • C onsulted • I nformed
#READY4EUDATAP 1.Consent and choice 2.Purpose legitimacy and specification 3.Collection limitation 4.Data minimization 5.Use, retention and disclosure limitation 6.Accuracy and quality 7.Openness, transparency and notice 8.Individual participation and access 9.Accountability 10.Information security 11.Privacy compliance Standard Ambito Privacy ISO 2910- Ambito Sicurezza ISO 2700- Ambito Identity management ISO 2470- Ambito Risk Management ISO 3100- …
#READY4EUDATAP Certificazioni attuali pre Regolamento UE Article 23 Data protection by design and by default … 2a. An approved certification mechanism pursuant to Article 39 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2.
#READY4EUDATAP Facci una domanda sul Blog Contattaci su Twitter

Recommended

#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano TagliabueEuroPrivacy
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Andrea Maggipinto [+1k]
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 

Recommended

#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano TagliabueEuroPrivacy
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Andrea Maggipinto [+1k]
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerCristiano Gasparotto
 
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...Barbieri & Associati Dottori Commercialisti - Bologna
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPRMaurilio Savoldi
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauIgor Serraino
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 
Safeguarding privacy in research design
Safeguarding privacy in research designSafeguarding privacy in research design
Safeguarding privacy in research designMarlon Domingus
 
Don't Ask, Don't Tell - The Virtues of Privacy By Design
Don't Ask, Don't Tell - The Virtues of Privacy By DesignDon't Ask, Don't Tell - The Virtues of Privacy By Design
Don't Ask, Don't Tell - The Virtues of Privacy By DesignEleanor McHugh
 
Security by design: An Introduction to Drupal Security
Security by design: An Introduction to Drupal SecuritySecurity by design: An Introduction to Drupal Security
Security by design: An Introduction to Drupal SecurityMediacurrent
 
Privacy by design
Privacy by designPrivacy by design
Privacy by designblogzilla
 

More Related Content

What's hot

#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPREuroPrivacy
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIRoberto Lorenzetti
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerCristiano Gasparotto
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOAdriano Bertolino
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauIgor Serraino
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro M2 Informatica
 

What's hot (18)

#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
 
The Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazioneThe Dark Side of the GDPR: dalla compliance alla formazione
The Dark Side of the GDPR: dalla compliance alla formazione
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL Server
 
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPR
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smau
 
GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro GDPR - Monitoraggio sul posto di lavoro
GDPR - Monitoraggio sul posto di lavoro
 

Viewers also liked

Safeguarding privacy in research design
Safeguarding privacy in research designSafeguarding privacy in research design
Safeguarding privacy in research designMarlon Domingus
 
Don't Ask, Don't Tell - The Virtues of Privacy By Design
Don't Ask, Don't Tell - The Virtues of Privacy By DesignDon't Ask, Don't Tell - The Virtues of Privacy By Design
Don't Ask, Don't Tell - The Virtues of Privacy By DesignEleanor McHugh
 
Security by design: An Introduction to Drupal Security
Security by design: An Introduction to Drupal SecuritySecurity by design: An Introduction to Drupal Security
Security by design: An Introduction to Drupal SecurityMediacurrent
 
Privacy by design
Privacy by designPrivacy by design
Privacy by designblogzilla
 
Google在被遺忘權 (Right to Be Forgotten)中所扮演的角色
Google在被遺忘權 (Right to Be Forgotten)中所扮演的角色Google在被遺忘權 (Right to Be Forgotten)中所扮演的角色
Google在被遺忘權 (Right to Be Forgotten)中所扮演的角色Wayne Chung
 
Information Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & MetricsInformation Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & MetricsMarius FAILLOT DEVARRE
 
Privacy by Design - taking in account the state of the art
Privacy by Design - taking in account the state of the artPrivacy by Design - taking in account the state of the art
Privacy by Design - taking in account the state of the artJames Mulhern
 
Security, Risk, Compliance & Controls - Cybersecurity Legal Framework in Hong...
Security, Risk, Compliance & Controls - Cybersecurity Legal Framework in Hong...Security, Risk, Compliance & Controls - Cybersecurity Legal Framework in Hong...
Security, Risk, Compliance & Controls - Cybersecurity Legal Framework in Hong...Amazon Web Services
 
Privacy by Design Seminar - Jan 22, 2015
Privacy by Design Seminar - Jan 22, 2015Privacy by Design Seminar - Jan 22, 2015
Privacy by Design Seminar - Jan 22, 2015Dr. Ann Cavoukian
 
Privacy by Design: White Papaer
Privacy by Design: White PapaerPrivacy by Design: White Papaer
Privacy by Design: White PapaerKristyn Greenwood
 
Managing Cloud Security Design and Implementation in a Ransomware World
Managing Cloud Security Design and Implementation in a Ransomware World Managing Cloud Security Design and Implementation in a Ransomware World
Managing Cloud Security Design and Implementation in a Ransomware World MongoDB
 
Advantages of privacy by design in IoE
Advantages of privacy by design in IoEAdvantages of privacy by design in IoE
Advantages of privacy by design in IoEMarc Vael
 
Privacy By Designer (PHP.ghent)
Privacy By Designer (PHP.ghent)Privacy By Designer (PHP.ghent)
Privacy By Designer (PHP.ghent)Ann Wuyts
 
20171106 - Privacy Design Lab - LINDDUN
20171106 - Privacy Design Lab - LINDDUN20171106 - Privacy Design Lab - LINDDUN
20171106 - Privacy Design Lab - LINDDUNBrussels Legal Hackers
 
Top career課件
Top career課件Top career課件
Top career課件Qilian
 
Ame Elliott – No, Thank You: User Experience Design for Privacy
Ame Elliott – No, Thank You: User Experience Design for PrivacyAme Elliott – No, Thank You: User Experience Design for Privacy
Ame Elliott – No, Thank You: User Experience Design for PrivacyNEXT Conference
 

Viewers also liked (18)

Safeguarding privacy in research design
Safeguarding privacy in research designSafeguarding privacy in research design
Safeguarding privacy in research design
 
Don't Ask, Don't Tell - The Virtues of Privacy By Design
Don't Ask, Don't Tell - The Virtues of Privacy By DesignDon't Ask, Don't Tell - The Virtues of Privacy By Design
Don't Ask, Don't Tell - The Virtues of Privacy By Design
 
Security by design: An Introduction to Drupal Security
Security by design: An Introduction to Drupal SecuritySecurity by design: An Introduction to Drupal Security
Security by design: An Introduction to Drupal Security
 
Privacy by design
Privacy by designPrivacy by design
Privacy by design
 
Google在被遺忘權 (Right to Be Forgotten)中所扮演的角色
Google在被遺忘權 (Right to Be Forgotten)中所扮演的角色Google在被遺忘權 (Right to Be Forgotten)中所扮演的角色
Google在被遺忘權 (Right to Be Forgotten)中所扮演的角色
 
Information Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & MetricsInformation Security Governance: Concepts, Security Management & Metrics
Information Security Governance: Concepts, Security Management & Metrics
 
Privacy by Design - taking in account the state of the art
Privacy by Design - taking in account the state of the artPrivacy by Design - taking in account the state of the art
Privacy by Design - taking in account the state of the art
 
Security, Risk, Compliance & Controls - Cybersecurity Legal Framework in Hong...
Security, Risk, Compliance & Controls - Cybersecurity Legal Framework in Hong...Security, Risk, Compliance & Controls - Cybersecurity Legal Framework in Hong...
Security, Risk, Compliance & Controls - Cybersecurity Legal Framework in Hong...
 
Privacy by Design Seminar - Jan 22, 2015
Privacy by Design Seminar - Jan 22, 2015Privacy by Design Seminar - Jan 22, 2015
Privacy by Design Seminar - Jan 22, 2015
 
Privacy by Design: White Papaer
Privacy by Design: White PapaerPrivacy by Design: White Papaer
Privacy by Design: White Papaer
 
Managing Cloud Security Design and Implementation in a Ransomware World
Managing Cloud Security Design and Implementation in a Ransomware World Managing Cloud Security Design and Implementation in a Ransomware World
Managing Cloud Security Design and Implementation in a Ransomware World
 
Advantages of privacy by design in IoE
Advantages of privacy by design in IoEAdvantages of privacy by design in IoE
Advantages of privacy by design in IoE
 
Privacy By Designer (PHP.ghent)
Privacy By Designer (PHP.ghent)Privacy By Designer (PHP.ghent)
Privacy By Designer (PHP.ghent)
 
20171106 - Privacy Design Lab - LINDDUN
20171106 - Privacy Design Lab - LINDDUN20171106 - Privacy Design Lab - LINDDUN
20171106 - Privacy Design Lab - LINDDUN
 
Top career課件
Top career課件Top career課件
Top career課件
 
Ame Elliott – No, Thank You: User Experience Design for Privacy
Ame Elliott – No, Thank You: User Experience Design for PrivacyAme Elliott – No, Thank You: User Experience Design for Privacy
Ame Elliott – No, Thank You: User Experience Design for Privacy
 
Data Pipeline Matters
Data Pipeline MattersData Pipeline Matters
Data Pipeline Matters
 
The AI Rush
The AI RushThe AI Rush
The AI Rush
 

Similar to #Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti

Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
 
Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)SMAU
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSMAU
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthAdriano Bertolino
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp rRedazione InnovaPuglia
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legaliStefano Corsini
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali ParmaPolaris informatica
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
GDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPGDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPDaniele Fittabile
 
Depliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemDepliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemGiuseppe Torre
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiAdalberto Casalboni
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...Social Hub Genova
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 

Similar to #Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti (20)

Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...
 
Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)Smau Padova 2019 Davide Giribaldi (Assintel)
Smau Padova 2019 Davide Giribaldi (Assintel)
 
Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.Introduzione al GDPR, General Data Protection Regulation.
Introduzione al GDPR, General Data Protection Regulation.
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, Aipsi
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealth
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r
 
2022.03 slide privacy by design
2022.03 slide privacy by design2022.03 slide privacy by design
2022.03 slide privacy by design
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legali
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
 
GDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDPGDPR - L'offerta di Soluzioni EDP
GDPR - L'offerta di Soluzioni EDP
 
Depliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemDepliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystem
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
Proteggiamo I Dati
Proteggiamo I DatiProteggiamo I Dati
Proteggiamo I Dati
 
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro CecchettiGDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
GDPR & GDPR - Confindustria Ravenna - Avv. Alessandro Cecchetti
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
 
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 

More from EuroPrivacy

5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17EuroPrivacy
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
 
Meeting with the sponsors (Nov 25th, 2016) - plan
Meeting with the sponsors (Nov 25th, 2016) - plan Meeting with the sponsors (Nov 25th, 2016) - plan
Meeting with the sponsors (Nov 25th, 2016) - planEuroPrivacy
 
Meeting with the sponsors (Nov 25th, 2016) - status
Meeting with the sponsors (Nov 25th, 2016) - statusMeeting with the sponsors (Nov 25th, 2016) - status
Meeting with the sponsors (Nov 25th, 2016) - statusEuroPrivacy
 
#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...
#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...
#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...EuroPrivacy
 
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...EuroPrivacy
 

More from EuroPrivacy (6)

5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazione
 
Meeting with the sponsors (Nov 25th, 2016) - plan
Meeting with the sponsors (Nov 25th, 2016) - plan Meeting with the sponsors (Nov 25th, 2016) - plan
Meeting with the sponsors (Nov 25th, 2016) - plan
 
Meeting with the sponsors (Nov 25th, 2016) - status
Meeting with the sponsors (Nov 25th, 2016) - statusMeeting with the sponsors (Nov 25th, 2016) - status
Meeting with the sponsors (Nov 25th, 2016) - status
 
#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...
#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...
#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...
 
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
 

#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti

  • 1. Privacy by Design: effetti pratici sui sistemi IT GIANCARLO BUTTI Milano, 29 GENNAIO 2016 #READY4EUDATAP
  • 2. #READY4EUDATAP L’evoluzione Ideato dall’ Information and Privacy Commissioner dell’ Ontario Recepito nel 2010 dalla 32a Conferenza Internazionale dei Garanti privacy Recepito come privacy by design e by default dal Regolamento UE
  • 3. #READY4EUDATAP (61 The protection of the rights and freedoms of individuals with regard to the processing of personal data require that appropriate technical and organisational measures are taken to ensure that the requirements of this Regulation are met. In order to be able to demonstrate compliance with this Regulation, the controller should adopt internal policies and implement measures, which meet in particular the principles of data protection by design and data protection by default. Such measures could consist inter alia of •minimising the processing of personal data •pseudonymising personal data as soon as possible •transparency with regard to the functions and processing of personal data, •enabling the data subject to monitor the data processing •enabling the controller to create and improve security features. When developing, designing, selecting and using applications, services and products that are either based on the processing of personal data or process personal data to fulfil their task, producers of the products, services and applications should be encouraged to take into account the right to data protection when developing and designing such products, services and applications and, with due regard to the state of the art, to make sure that controllers and processors are able to fulfil their data protection obligations. The principles of data protection by design and by default should also be taken into consideration in the context of public tenders. Il Regolamento UE …controller should adopt internal policies and implement measures… •minimising the processing of personal data •pseudonymising personal data as soon as possible •transparency with regard to the functions and processing of personal data •enabling the data subject to monitor the data processing •enabling the controller to create and improve security features …producers of the products, services and applications should be encouraged to take into account the right to data protection…
  • 4. #READY4EUDATAP Article 23 Data protection by design and by default 1. Having regard to the state of the art and the cost of implementation and taking account of the nature, scope, context and purposes of the processing as well as the risks of varying likelihood and severity for rights and freedoms of individuals posed by the processing, the controller shall, both at the time of the determination of the means for processing and at the time of the processing itself, implement appropriate technical and organisational measures, such as pseudonymisation, which are designed to implement data protection principles, such as data minimisation, in an effective way and to integrate the necessary safeguards into the processing in order to meet the requirements of this Regulation and protect the rights of data subjects. 2. The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed; this applies to the amount of data collected, the extent of their processing, the period of their storge and their accessibility. In particular, such measures shall ensure that by default personal data are not made accessible without the individual’s intervention to an indefinite number of individuals. 2a. An approved certification mechanism pursuant to Article 39 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2. Il Regolamento UE …technical and organisational measures, such as pseudonymisation, which are designed to implement data protection principles, such as data minimisatio… The controller shall implement appropriate technical and organisational measures for ensuring that, by default, only personal data which are necessary for each specific purpose of the processing are processed;
  • 5. #READY4EUDATAP Art. 3. Principio di necessità nel trattamento dei dati I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità. Art. 11. Modalità del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono: … d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. La situazione attuale Autorizzazione n. 1/2014 - Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro … Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice Art. 3. Principio di necessità nel trattamento dei dati I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi… Art. 11. Modalità del trattamento e requisiti dei dati 1. I dati personali oggetto di trattamento sono: … d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario
  • 6. #READY4EUDATAP I principi fondamentali 1. Proactive not Reactive; Preventative not Remedial The Privacy by Design (PbD) approach is characterized by proactive rather than reactive measures. It anticipates and prevents privacy invasive events before they happen. PbD does not wait for privacy risks to materialize, nor does it offer remedies for resolving privacy infractions once they have occurred — it aims to prevent them from occurring. In short, Privacy by Design comes before-the-fact, not after. 2. Privacy as the Default Setting We can all be certain of one thing — the default rules! Privacy by Design seeks to deliver the maximum degree of privacy by ensuring that personal data are automatically protected in any given IT system or business practice. If an individual does nothing, their privacy still remains intact. No action is required on the part of the individual to protect their privacy — it is built into the system, by default. 3. Privacy Embedded into Design Privacy by Design is embedded into the design and architecture of IT systems and business practices. It is not bolted on as an add-on, after the fact. The result is that privacy becomes an essential component of the core functionality being delivered. Privacy is integral to the system, without diminishing functionality. 4. Full Functionality — Positive-Sum, not Zero-Sum Privacy by Design seeks to accommodate all legitimate interests and objectives in a positive-sum “win-win” manner, not through a dated, zero-sum approach, where unnecessary trade-offs are made. Privacy by Design avoids the pretense of false dichotomies, such as privacy vs. security, demonstrating that it is possible to have both. 5. End-to-End Security — Full Lifecycle Protection Privacy by Design, having been embedded into the system prior to the first element of information being collected, extends securely throughout the entire lifecycle of the data involved — strong security measures are essential to privacy, from start to finish. This ensures that all data are securely retained, and then securely destroyed at the end of the process, in a timely fashion. Thus, Privacy by Design ensures cradle to grave, secure lifecycle management of information, end-to-end. 6. Visibility and Transparency — Keep it Open Privacy by Design seeks to assure all stakeholders that whatever the business practice or technology involved, it is in fact, operating according to the stated promises and objectives, subject to independent verification. Its component parts and operations remain visible and transparent, to users and providers alike. Remember, trust but verify. 7. Respect for User Privacy — Keep it User-Centric Above all, Privacy by Design requires architects and operators to keep the interests of the individual uppermost by offering such measures as strong privacy defaults, appropriate notice, and empowering user-friendly options. Keep it user-centric. Information and Privacy Commissioner of Ontario Web: www.ipc.on.ca • www.privacybydesign.ca 1. Proactive not Reactive; Preventative not Remedial 2. Privacy as the Default Setting 3. Privacy Embedded into Design 4. Full Functionality — Positive-Sum, not Zero-Sum 5. End-to-End Security — Full Lifecycle Protection 6. Visibility and Transparency — Keep it Open 7. Respect for User Privacy — Keep it User-Centric
  • 7. #READY4EUDATAP Ripensare il modo di progettare BY DESIGN e RE DESIGN Oggi il coinvolgimento degli aspetti privacy avviene (se avviene…) alla conclusione della progettazione/realizzazione di un prodotto/servizio e riguarda in genere solo aspetti formali (informative, clausole contrattuali…) Con il nuovo Regolamento UE la valutazione degli impatti privacy (PIA) e la valutazione degli interventi tecnici (oltre che organizzativi e formali) deve avvenire dalla fase di progettazione Data Oriented Strategies Minimise Hide Separate Aggregate Process Oriented Strategies Inform Control Enforce Demonstrate
  • 8. #READY4EUDATAP Esempio Implementazione di soluzioni di Firma grafometrica PROATTIVO NON REATTIVO; PREVENIRE NON CORREGGERE - PRIVACY COME IMPOSTAZIONE DI DEFAULT - PRIVACY INCORPORATA NELLA PROGETTAZIONE Un progetto di firma grafometrica, tipo particolare di FEA, è pensato da subito nel rispetto della privacy degli interessati in quanto deve sottostare oltre che a normative specifiche (CAD e Regole tecniche) anche al Provvedimento del Garante privacy sui dati biometrici. SICUREZZA FINO ALLA FINE − PIENA PROTEZIONE DEL CICLO VITALE Sono previste misure per la crittografia dei dati biometrici sin dal momento della loro raccolta e per tutto il loro processo di elaborazione e conservazione. L’accesso ai dati biometrici può avvenire solo ricorrendo a terzi (le chiavi di accesso ai dati non sono nella disponibilità del Titolare). I dati in chiaro non sono conservati, neanche per periodi limitati, sui dispositivi hardware utilizzati per la raccolta. La trasmissione dei dati biometrici tra sistemi avviene esclusivamente tramite canali di comunicazione crittografati. VISIBILITÀ E TRASPARENZA − MANTENERE LA TRASPARENZA •Il Titolare è obbligato a Informare l’utente su: •le caratteristiche del sistema •le caratteristiche delle tecnologie utilizzate e come queste consentono di ottemperare a quanto prescritto dalla normativa pubblicando anche sul sito internet tutte le precedenti informazioni •L’utente deve accettare le condizioni del servizio e può revocarlo •Vi è una connessione univoca della firma al firmatario ed un controllo esclusivo del firmatario del sistema di generazione della firma •Vi è un obbligo di segnalazione sulla violazioni dei dati o su incidenti informatici MASSIMA FUNZIONALITÀ − VALORE POSITIVO, NON VALORE ZERO - RISPETTO PER LA PRIVACY DELL’UTENTE − CENTRALITÀ DELL’UTENTE La soluzione è win-win sia per l’interessato sia per il Titolare •L’utente non deve disporre di alcuno strumento particolare •Il tipo di esperienza nell’apposizione della firma è simile a quello della firma tradizionale •La riconoscibilità della firma in caso di contenzioso è più elevata rispetto a quella tradizionale in quanto vengono archiviati un maggior numero di parametri; sia l’interessato, sia il Titolare sono quindi maggiormente tutelati •Vi è un risparmio sulla stampa dei documenti e sulla loro archiviazione •Viene eliminato il rischio di perdita di documenti • Librerie software ed implementazioni pensate per proteggere il dato biometrico nell’intero ciclo di vita • Massima trasparenza per il cliente che può accettarne o meno l’uso sul singolo documento • Pubblicità della soluzione implementata dal punto di vista tecnico ed organizzativo sul sito del Titolare che adotta tale soluzione • Vantaggi sia per il Titolare, sia per il cliente
  • 9. #READY4EUDATAP Framework di riferimento: gli aspetti ICT 2 Engineering Privacy 2.1 Prior art on privacy engineering 2.2 Deriving privacy and data protection principles from the legal framework 2.3 Definition of the context and objectives 2.4 Methodologies 2.5 Evaluation means 3 Privacy Design Strategies 3.1 Software design patterns, strategies, and technologies 3.2 Eight privacy design strategies 4 Privacy Techniques 4.1 Authentication 4.2 Attribute based credentials 4.3 Secure private communications 4.4 Communications anonymity and pseudonymity 4.5 Privacy in databases 4.6 Technologies for respondent privacy: statistical disclosure control 4.7 Technologies for owner privacy: privacy-preserving data mining 4.8 Technologies for user privacy: private information 4.9 Storage privacy 4.10 Privacy-preserving computations 4.11 Transparency-enhancing techniques acy: private information
  • 10. #READY4EUDATAP Framework di riferimento GoalsGoals Balance • Benefits • Risks • Optimal resource management Stakeholder • Consult • Comunicate Perf. Measurement • Goals KPI’s OperateOperate Where • Processes /Practice / Activity • Principles – Policies • Systems • Persons • Organization • Available Information • Culture / ethic How • Base Practices / Activities • Universally accepted • Based on Standards • Priority based on Business Goals Life cycleLife cycle EVALUATE, DIRECT AND MONITOR PLAN AND ORGANIZE DESIGN/ BUILD / ACQUIRE USE / OPERATE MONITOR / CONTROL ResponsibilityResponsibility ROLES • BOARD • BUSINESS • IT / IS • AUDIT ACTIVITY • R esponsible • A ccountable • C onsulted • I nformed
  • 11. #READY4EUDATAP 1.Consent and choice 2.Purpose legitimacy and specification 3.Collection limitation 4.Data minimization 5.Use, retention and disclosure limitation 6.Accuracy and quality 7.Openness, transparency and notice 8.Individual participation and access 9.Accountability 10.Information security 11.Privacy compliance Standard Ambito Privacy ISO 2910- Ambito Sicurezza ISO 2700- Ambito Identity management ISO 2470- Ambito Risk Management ISO 3100- …
  • 12. #READY4EUDATAP Certificazioni attuali pre Regolamento UE Article 23 Data protection by design and by default … 2a. An approved certification mechanism pursuant to Article 39 may be used as an element to demonstrate compliance with the requirements set out in paragraphs 1 and 2.
  • 13. #READY4EUDATAP Facci una domanda sul Blog Contattaci su Twitter