SlideShare a Scribd company logo

La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni Grippo Cappelli & Partners

Barbieri & Associati Dottori Commercialisti - Bologna
Barbieri & Associati Dottori Commercialisti - Bologna

Intervento di Melissa Marchese, Studio Legale Gianni, Origoni, Grippo Cappelli & Partners, in occasione del "16°Meeting Nazionale ACEF - Idee senza recinti", 28/10/2016, Sede della Regione Emilia Romagna, Bologna

Small Business & Entrepreneurship
1 of 28
La sicurezza dei dati e dell’informazione Avv. Melissa Marchese Studio Legale Gianni, Origoni, Grippo, Cappelli & Partners
Fonti Legislative e Regolamentari
Panorama D.lgs. 30 giugno 2003, n. 196 Codice in Materia di Protezione dei Dati Personali Provvedimento Garante del 27 novembre 2008 per l’attribuzione delle funzioni di Amministratore di Sistema Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio relativo alla Protezione delle Persone Fisiche con Riguardo al Trattamento dei Dati Personali 1 3 2
D.lgs. 30 giugno 2003, n. 196 Codice in Materia di Protezione dei Dati Personali
Ampiezza della tutela Trattamento: qualunque operazione o complesso di operazioni, svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti: la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la consultazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione. 5 Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” Dati Personali: qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente mediante riferimento a qualsiasi altra informazione (contrapposti ai dati anonimi) Dati sensibili: dati personali idonei a rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale. Dati giudiziari: dati personali idonei a rilevare alcuni provvedimenti giudiziari, eventuali carichi pendenti, la qualità di imputato o di indagato e la soccombenza ad eventuali sanzioni amministrative dipendenti da reato. Oggetto della tutela
Principi Generali I dati personali devono essere: • Trattati in modo lecito e secondo correttezza; • Raccolti e registrati per uno scopo determinato; • Pertinenti e completi rispetto alle finalità della raccolta; • Conservati per un periodo non superiore a quello necessario per il raggiungimento dello scopo; • Custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Le Misure di Sicurezza I dati trattati devono essere protetti da misure di sicurezza preventive per ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato ai dati. La legge distingue tra 1. Misure minime Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall’art. 31 del Codice per la Protezione dei Dati Personali 2. Misure idonee I dati personali oggetto di trattamento sono custoditi e controllati anche in relazione: a. Alle conoscenze acquisite in base al progresso tecnico; b. Alla natura dei dati; c. Alle specifiche caratteristiche del trattamento.
1. Misure Minime (i) Trattamento dei dati con strumenti elettronici a. Autenticazione informatica b.Procedure di gestione delle credenziali di autenticazione c. Utilizzazione di un sistema di autorizzazione d.Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito agli incaricati e addetti alla gestione e manutenzione sistemi e. Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti f. Procedure per la custodia di copie di back-up e per ripristino della disponibilità dei dati e dei sistemi
1. Misure Minime (ii) Trattamento dei dati con strumenti non elettronici a. Aggiornamento periodico ambito di trattamento consentito b.Procedure per l’idonea custodia di atti e documenti c. Procedure per la conservazione di determinati atti in archivi ad accesso selezionato d.Individuazione modalità di accesso per l’identificazione degli incaricati Le misure minime di sicurezza privacy sono obbligatorie e la loro mancata implementazione ha risvolti anche sul piano penale (artt. 33-36 e Allegato B del Codice Privacy)
2. Misure Idonee Le c.d. misure idonee non possono essere predefinite in quanto vanno valutate alla luce del progresso tecnologico. Il Garante ha fornito alcuni esempi di misure idonee «i dati personali oggetto del trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico» (art. 31 D.Lgs. 196/2003) La c.d. distanza di cortesia appare in goni caso una misura opportuna per prevenire l’accesso non autorizzato da parte di terzi, che può avvenire anche in modo passivo (ad es., da parte di uno dei componenti la «fila», il quale si limiti ad ascoltare da una posizione molto vicina all’operatore di sportello e al cliente, il dialogo tra questi ultimi eventualmente concernente dati personali. (Provv. 30 marzo 1998 [doc. web n. 39646]) «La sicurezza non è un prodotto, ma un processo. Un processo, che, possiamo aggiungere, è strettamente legato sia alla invenzione di macchine e sistemi più progrediti, che alla creazione di applicazioni software sempre più sofisticate.» (Scheneier, 2004)
Allegato B Codice Protezione Dati Personali Disciplinare tecnico in materia di misure minime di sicurezza • Specificazione analitica dell’insieme delle misure di sicurezza logiche, fisiche ed organizzative, che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall’art. 31 del Codice. • Gli obblighi indicati nell’allegato B non devono intendersi esaustivi, ma rappresentano un sottoinsieme della più apia categoria delle misure idonee. • Nel 2014 il Garante ha segnalato la necessità di aggiornare le prescrizioni in base al progresso scientifico. I principi di revisione dovrebbero essere ispirati a criteri di semplificazione e di maggiore effettività delle misure (non solo adempimenti burocratici).
Provvedimento 27 novembre 2008 Misure e accorgimenti relativamente alle attribuzioni delle funzioni di amministratore di sistema
Amministratori di Sistema Ampia definizione: Figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti e altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Misure prescritte 1. Valutazione delle caratteristiche soggettive; 2. Designazioni individuali; 3. Elenco degli amministratori di sistema; 4. Verifica delle attività; 5. Servizi in outsourcing; 6. Verifica delle attività; 7. Registrazione degli accessi.
Regolamento (UE) 2016/679 Relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati
Misure Tecniche ed Organizzative Adeguare «Al fine di garantire un trattamento corretto e trasparente nel rispetto dell'interessato, tenendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati, è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell'interessato e che impedisca tra l'altro effetti discriminatori nei confronti di persone fisiche […].» (Considerando 71) «La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l'adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento.» (Considerando 78)
Principi Generali • Minimizzazione dei dati: devono essere raccolti solo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (Principi di proporzionalità e di necessità) • Titolare e Responsabile del trattamento sono tenuti ad “attuare misure tecniche e organizzative” adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (Articolo 32) • Misure di mitigazione del rischio quali “la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
Data Protection Impact Assessment Valutazione d'impatto sulla protezione dei dati (Art. 35) 1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. 2. Il titolare del trattamento, allorquando svolge una valutazione d'impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno. 3. La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; o c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
Data Protection Impact Assessment Valutazione d'impatto sulla protezione dei dati (Art. 35) 1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. (…) L’obbligo di svolgere il Data Protection Impact Assessment (DPIA), per i trattamenti delicati e ad alto rischio (ad es.. il monitoraggio sistematico e su larga scala); le piccole medie imprese non avranno l’obbligo di effettuare la valutazione d’impatto sulla protezione dei dati (“privacy impact assessment”), tranne nel caso in cui il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche. In tal caso il responsabile dovrà preventivamente consultare l’Autorità di controllo.
Registro delle Attività di Trattamento (i) Ai senti dell’Articolo 30, Titolare e Responsabile del trattamento dovranno tenere un registro delle attività di trattamento svolte sotto la propria responsabilità. (…) Tale registro contiene tutte le seguenti informazioni: a)il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; 4.5.2016 L 119/50 Gazzetta ufficiale dell'Unione europea IT (segue)
Registro delle Attività di Trattamento (ii) d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.
Notifica di una violazione dei dati Definizione «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. Articolo 33 1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. (…)
Notifica di una violazione dei dati 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. (…) 5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.
Data Breach  Affidabilità nel trattamento dei dati e delle informazioni di titolarità dei propri clienti in sede di instaurazione della relazione professionale  Requisiti di sicurezza che devono essere soddisfatti per avere accesso alle informazioni di proprietà del cliente (anche in relazione alla natura e grado di confidenzialità delle stesse) Garantire - ricordando l’evoluzione tecnologica e specializzazione tematica - che i dati dei clienti raccolti, trattati e conservati dalla propria struttura siano al sicuro da qualsiasi accesso abusivo ed uso improprio Le violazioni delle informazioni e dei dati personali (data breach) possono allontanare i clienti e distruggere la credibilità SICUREZZA
 Tendenza diffusa dei clienti (es. multinazionali) di vigilanza e audit sull'attività di trattamento dei propri dati e informazioni all'interno della sfera operativa dello Studio al fine di verificare che il livello di protezione sia adeguato • Relazioni e stesura di report sulle misure di sicurezza adottate, su base periodica o su richiesta del cliente • Puntuali dichiarazioni di conformità in relazione a quanto stabilito dalla normativa privacy • Liste di controllo e Risk assessment questionnaire con domande mirate e risposte multiple • consegna di copia del Documento Programmatico sulla Sicurezza • “Sigillo” privacy, incoraggiato dal nuovo Regolamento europeo al fine di certificare il livello di protezione dei dati garantito dai titolari del trattamento.
La Gestione degli Obblighi di Sicurezza e Programmazione dei Futuri Adempimenti
Obblighi di Sicurezza 1. Definizione della struttura organizzativa (Titolare, Responsabile, Incaricato del trattamento) e rispettive competenze in tema di gestione della sicurezza; • Mappatura completa dei flussi di dati interni ed esterni; • Definizione e verifica annuale dei profili di autorizzazione; • Formazione; • Previsione di controlli e azioni disciplinari in caso di condotte anomale. 2. Censimento periodico dei dati e delle informazioni trattate, dei supporti fisici ed elettronici di trattamento e conservazione; • Analisi dei rischi ed individuazione delle rispettive strategie di gestione; • Redazione, verifica ed aggiornamento di procedure di sicurezza interna e risk management; • Periodica verifica delle misure di sicurezza adottate (audit interni, colloqui con IT, questionari di autovalutazione, report, ecc.); • Ripristino disponibilità dei dati e realizzazione di copie di sicurezza (backup e disaster recovery).
Roma Via delle Quattro Fontane, 20 00184 Roma Tel. +39 06 478751 Fax +39 06 4871101 Milano Piazza Belgioioso, 2 20121 Milano Tel. +39 02 763741 Fax +39 02 76009628 Bologna Via Massimo D'Azeglio, 25 40123 Bologna Tel. +39 051 6443611 Fax +39 051 271669 Padova Piazza Eremitani, 18 35121 Padova Tel. +39 049 6994411 Fax +39 049 660341 Torino C.so Vittorio Emanuele II, 83 10128 Torino Tel. +39 011 5660277 Fax +39 011 5185932 Abu Dhabi Penthouse 2102 CI Tower - 32nd St. P.O. Box 42790 Abu Dhabi Tel. +971 2 815 3333 Fax +971 2 679 6664 Brussels 184, Avenue Molière B-1050 Brussels Tel. +32 23401550 Fax +32 23401559 London 6 - 8 Tokenhouse Yard London EC2R 7AS Tel. +44 2073971700 Fax +44 2073971701 New York 1221 Avenue of the Americas - 42nd Floor New York, NY 10020 Tel. +1 212 957 9600 Fax +1 212 957 9608 Le nostre Sedi Hong Kong Unit 208 - 2nd Floor St. George’s Building 2 Ice House Street Central - Hong Kong Tel. + 852 21563490 Fax + 852 21563499 In Italia… … e all’estero
Il presente documento è stato elaborato da Gianni, Origoni, Grippo, Cappelli & Partners e reso disponibile a mero scopo informativo. Il presente documento è aggiornato alla data indicata sulla prima pagina. Le informazioni contenute nel presente documento, di cui non si garantisce la completezza, non costituiscono né un parere legale, né un esame esaustivo della materia, né possono sostituirsi a un parere rilasciato su specifiche questioni concrete. Gianni, Origoni, Grippo, Cappelli & Partners non può essere ritenuto responsabile per eventuali danni, diretti o indiretti, derivanti dall’utilizzo improprio del presente documento o del suo contenuto o comunque connessi al suo utilizzo. Il presente documento non può essere riprodotto, distribuito o pubblicato in tutto o in parte, per qualsiasi scopo, senza l’espressa autorizzazione da parte di Gianni, Origoni, Grippo, Cappelli & Partners. Per qualsiasi ulteriore chiarimento si prega di contattare Gianni, Origoni, Grippo, Cappelli & Partners. Grazie per l’attenzione

Recommended

#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano TagliabueEuroPrivacy
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Andrea Maggipinto [+1k]
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
M. Parretti - Privacy e Conservazione
M. Parretti - Privacy e ConservazioneM. Parretti - Privacy e Conservazione
M. Parretti - Privacy e ConservazioneCamera di Commercio di Pisa
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legaliStefano Corsini
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 

Recommended

#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano TagliabueEuroPrivacy
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Andrea Maggipinto [+1k]
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo ButtiEuroPrivacy
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)EuroPrivacy
 
M. Parretti - Privacy e Conservazione
M. Parretti - Privacy e ConservazioneM. Parretti - Privacy e Conservazione
M. Parretti - Privacy e ConservazioneCamera di Commercio di Pisa
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legaliStefano Corsini
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...EuroPrivacy
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...Colin & Partners Srl
 
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Unione Parmense degli Industriali
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Andrea Maggipinto [+1k]
 
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...Social Hub Genova
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSMAU
 
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTContinuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTSergio Primo Del Bello
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciCSI Piemonte
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017SMAU
 
Corso privacy
Corso privacyCorso privacy
Corso privacybruma
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Marco Turolla
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018mobi-TECH
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto ANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp rRedazione InnovaPuglia
 

More Related Content

What's hot

Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Unione Parmense degli Industriali
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Andrea Maggipinto [+1k]
 
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...Social Hub Genova
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...Alessio Farina
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSMAU
 
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTContinuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTSergio Primo Del Bello
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciCSI Piemonte
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...EuroPrivacy
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...CSI Piemonte
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...CSI Piemonte
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017SMAU
 
Corso privacy
Corso privacyCorso privacy
Corso privacybruma
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Marco Turolla
 

What's hot (19)

Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
 
Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...Sviluppare e progettare secondo il principio data protection by design and by...
Sviluppare e progettare secondo il principio data protection by design and by...
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
 
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
Smau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, AipsiSmau Milano 2016 - Marco Parretti, Aipsi
Smau Milano 2016 - Marco Parretti, Aipsi
 
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTContinuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRT
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
 
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017
 
Corso privacy
Corso privacyCorso privacy
Corso privacy
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018
 

Similar to La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni Grippo Cappelli & Partners

Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018mobi-TECH
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp rRedazione InnovaPuglia
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.gmorelli78
 
Bird&bird smau 2017
Bird&bird smau 2017Bird&bird smau 2017
Bird&bird smau 2017Marco Turolla
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017SMAU
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaM2 Informatica
 
I principi del GDPR e i modelli per l'adeguamento
I principi del GDPR e i modelli per l'adeguamentoI principi del GDPR e i modelli per l'adeguamento
I principi del GDPR e i modelli per l'adeguamentoUneba
 
Presentazione gmr smau 2017
Presentazione gmr smau 2017Presentazione gmr smau 2017
Presentazione gmr smau 2017mobi-TECH
 
L'approccio al rischio e il principio di responsabilizzazione - Massimo Dura...
L'approccio al rischio e il principio di responsabilizzazione - Massimo Dura...L'approccio al rischio e il principio di responsabilizzazione - Massimo Dura...
L'approccio al rischio e il principio di responsabilizzazione - Massimo Dura...CSI Piemonte
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali ParmaPolaris informatica
 
Depliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemDepliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemGiuseppe Torre
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaCouncil of Europe
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellagmrinaldi
 
Privacy e riservatezza nella consulenza tecnica (estratto)
Privacy e riservatezza nella consulenza tecnica (estratto)Privacy e riservatezza nella consulenza tecnica (estratto)
Privacy e riservatezza nella consulenza tecnica (estratto)Andrea Maggipinto [+1k]
 

Similar to La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni Grippo Cappelli & Partners (20)

Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r2 fornaro fiera del levante sicurezza gdp r
2 fornaro fiera del levante sicurezza gdp r
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guida
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.
 
Bird&bird smau 2017
Bird&bird smau 2017Bird&bird smau 2017
Bird&bird smau 2017
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
 
I principi del GDPR e i modelli per l'adeguamento
I principi del GDPR e i modelli per l'adeguamentoI principi del GDPR e i modelli per l'adeguamento
I principi del GDPR e i modelli per l'adeguamento
 
Presentazione gmr smau 2017
Presentazione gmr smau 2017Presentazione gmr smau 2017
Presentazione gmr smau 2017
 
L'approccio al rischio e il principio di responsabilizzazione - Massimo Dura...
L'approccio al rischio e il principio di responsabilizzazione - Massimo Dura...L'approccio al rischio e il principio di responsabilizzazione - Massimo Dura...
L'approccio al rischio e il principio di responsabilizzazione - Massimo Dura...
 
Con04 ads
Con04 adsCon04 ads
Con04 ads
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
 
Depliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemDepliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystem
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridica
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stella
 
Privacy e riservatezza nella consulenza tecnica (estratto)
Privacy e riservatezza nella consulenza tecnica (estratto)Privacy e riservatezza nella consulenza tecnica (estratto)
Privacy e riservatezza nella consulenza tecnica (estratto)
 

More from Barbieri & Associati Dottori Commercialisti - Bologna

More from Barbieri & Associati Dottori Commercialisti - Bologna (20)

Commento al rapporto sull'economia Regionale dell'Emilia-Romagna
Commento al rapporto sull'economia Regionale dell'Emilia-RomagnaCommento al rapporto sull'economia Regionale dell'Emilia-Romagna
Commento al rapporto sull'economia Regionale dell'Emilia-Romagna
 
Il processo tributario telematico - Beatrice Ingenito
Il processo tributario telematico - Beatrice IngenitoIl processo tributario telematico - Beatrice Ingenito
Il processo tributario telematico - Beatrice Ingenito
 
Intelligenza aritificiale e nuove tecnologie al servizio delle professioni - ...
Intelligenza aritificiale e nuove tecnologie al servizio delle professioni - ...Intelligenza aritificiale e nuove tecnologie al servizio delle professioni - ...
Intelligenza aritificiale e nuove tecnologie al servizio delle professioni - ...
 
L'evoluzione digitale delle professioni - Morena Diazzi
L'evoluzione digitale delle professioni - Morena DiazziL'evoluzione digitale delle professioni - Morena Diazzi
L'evoluzione digitale delle professioni - Morena Diazzi
 
Nuovo codice della crisi: una sfida a migliorare i processi di valutazione de...
Nuovo codice della crisi: una sfida a migliorare i processi di valutazione de...Nuovo codice della crisi: una sfida a migliorare i processi di valutazione de...
Nuovo codice della crisi: una sfida a migliorare i processi di valutazione de...
 
Una professione in cambiamento: quali sono i trend comportamentali che stanno...
Una professione in cambiamento: quali sono i trend comportamentali che stanno...Una professione in cambiamento: quali sono i trend comportamentali che stanno...
Una professione in cambiamento: quali sono i trend comportamentali che stanno...
 
Il ruolo del consulente di direzione nel processo di innovazione e di digital...
Il ruolo del consulente di direzione nel processo di innovazione e di digital...Il ruolo del consulente di direzione nel processo di innovazione e di digital...
Il ruolo del consulente di direzione nel processo di innovazione e di digital...
 
Le novità in tema di antiriciclaggio - Biagio Palmieri
Le novità in tema di antiriciclaggio - Biagio PalmieriLe novità in tema di antiriciclaggio - Biagio Palmieri
Le novità in tema di antiriciclaggio - Biagio Palmieri
 
Cambiamento: innovazione & tecnologia - Josè Paulo Graciotti
Cambiamento: innovazione & tecnologia - Josè Paulo GraciottiCambiamento: innovazione & tecnologia - Josè Paulo Graciotti
Cambiamento: innovazione & tecnologia - Josè Paulo Graciotti
 
L'ingegnere nell'evoluzione digitale - Andrea Gnudi
L'ingegnere nell'evoluzione digitale - Andrea GnudiL'ingegnere nell'evoluzione digitale - Andrea Gnudi
L'ingegnere nell'evoluzione digitale - Andrea Gnudi
 
Nuovo codice della crisi, quali opportunità e quale impatto sugli assetti org...
Nuovo codice della crisi, quali opportunità e quale impatto sugli assetti org...Nuovo codice della crisi, quali opportunità e quale impatto sugli assetti org...
Nuovo codice della crisi, quali opportunità e quale impatto sugli assetti org...
 
Intelligenza artificiale e nuove tecnologie al servizio delle professioni - P...
Intelligenza artificiale e nuove tecnologie al servizio delle professioni - P...Intelligenza artificiale e nuove tecnologie al servizio delle professioni - P...
Intelligenza artificiale e nuove tecnologie al servizio delle professioni - P...
 
Incentivi fiscali e beni immateriali: patent box - Domenico Lisa
Incentivi fiscali e beni immateriali: patent box - Domenico LisaIncentivi fiscali e beni immateriali: patent box - Domenico Lisa
Incentivi fiscali e beni immateriali: patent box - Domenico Lisa
 
Problematiche valutative dei beni immateriali - Il patent box - Andrea Amaduzzi
Problematiche valutative dei beni immateriali - Il patent box - Andrea AmaduzziProblematiche valutative dei beni immateriali - Il patent box - Andrea Amaduzzi
Problematiche valutative dei beni immateriali - Il patent box - Andrea Amaduzzi
 
Marchi e denominazioni d'origine - Dulcinea Bignami
Marchi e denominazioni d'origine - Dulcinea BignamiMarchi e denominazioni d'origine - Dulcinea Bignami
Marchi e denominazioni d'origine - Dulcinea Bignami
 
Agenzia delle Entrate - Disposizioni in materia di Secondary Ticjketing
Agenzia delle Entrate - Disposizioni in materia di Secondary TicjketingAgenzia delle Entrate - Disposizioni in materia di Secondary Ticjketing
Agenzia delle Entrate - Disposizioni in materia di Secondary Ticjketing
 
Influencer e riconoscibilità della pubblicità - Chiara Pappalardo
Influencer e riconoscibilità della pubblicità - Chiara PappalardoInfluencer e riconoscibilità della pubblicità - Chiara Pappalardo
Influencer e riconoscibilità della pubblicità - Chiara Pappalardo
 
Violazione della proprietà intellettuale, quantificazione del danno - Eleonor...
Violazione della proprietà intellettuale, quantificazione del danno - Eleonor...Violazione della proprietà intellettuale, quantificazione del danno - Eleonor...
Violazione della proprietà intellettuale, quantificazione del danno - Eleonor...
 
Operazioni straordinarie, patent box e crisi d'impresa - Mario Paccoia
Operazioni straordinarie, patent box e crisi d'impresa - Mario PaccoiaOperazioni straordinarie, patent box e crisi d'impresa - Mario Paccoia
Operazioni straordinarie, patent box e crisi d'impresa - Mario Paccoia
 
Brevetti e know how - Danilo Martucci
Brevetti e know how - Danilo MartucciBrevetti e know how - Danilo Martucci
Brevetti e know how - Danilo Martucci
 

La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni Grippo Cappelli & Partners

  • 1. La sicurezza dei dati e dell’informazione Avv. Melissa Marchese Studio Legale Gianni, Origoni, Grippo, Cappelli & Partners
  • 3. Panorama D.lgs. 30 giugno 2003, n. 196 Codice in Materia di Protezione dei Dati Personali Provvedimento Garante del 27 novembre 2008 per l’attribuzione delle funzioni di Amministratore di Sistema Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio relativo alla Protezione delle Persone Fisiche con Riguardo al Trattamento dei Dati Personali 1 3 2
  • 4. D.lgs. 30 giugno 2003, n. 196 Codice in Materia di Protezione dei Dati Personali
  • 5. Ampiezza della tutela Trattamento: qualunque operazione o complesso di operazioni, svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti: la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la consultazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione. 5 Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” Dati Personali: qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente mediante riferimento a qualsiasi altra informazione (contrapposti ai dati anonimi) Dati sensibili: dati personali idonei a rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale. Dati giudiziari: dati personali idonei a rilevare alcuni provvedimenti giudiziari, eventuali carichi pendenti, la qualità di imputato o di indagato e la soccombenza ad eventuali sanzioni amministrative dipendenti da reato. Oggetto della tutela
  • 6. Principi Generali I dati personali devono essere: • Trattati in modo lecito e secondo correttezza; • Raccolti e registrati per uno scopo determinato; • Pertinenti e completi rispetto alle finalità della raccolta; • Conservati per un periodo non superiore a quello necessario per il raggiungimento dello scopo; • Custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
  • 7. Le Misure di Sicurezza I dati trattati devono essere protetti da misure di sicurezza preventive per ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato ai dati. La legge distingue tra 1. Misure minime Il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall’art. 31 del Codice per la Protezione dei Dati Personali 2. Misure idonee I dati personali oggetto di trattamento sono custoditi e controllati anche in relazione: a. Alle conoscenze acquisite in base al progresso tecnico; b. Alla natura dei dati; c. Alle specifiche caratteristiche del trattamento.
  • 8. 1. Misure Minime (i) Trattamento dei dati con strumenti elettronici a. Autenticazione informatica b.Procedure di gestione delle credenziali di autenticazione c. Utilizzazione di un sistema di autorizzazione d.Aggiornamento periodico dell’individuazione dell’ambito di trattamento consentito agli incaricati e addetti alla gestione e manutenzione sistemi e. Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti f. Procedure per la custodia di copie di back-up e per ripristino della disponibilità dei dati e dei sistemi
  • 9. 1. Misure Minime (ii) Trattamento dei dati con strumenti non elettronici a. Aggiornamento periodico ambito di trattamento consentito b.Procedure per l’idonea custodia di atti e documenti c. Procedure per la conservazione di determinati atti in archivi ad accesso selezionato d.Individuazione modalità di accesso per l’identificazione degli incaricati Le misure minime di sicurezza privacy sono obbligatorie e la loro mancata implementazione ha risvolti anche sul piano penale (artt. 33-36 e Allegato B del Codice Privacy)
  • 10. 2. Misure Idonee Le c.d. misure idonee non possono essere predefinite in quanto vanno valutate alla luce del progresso tecnologico. Il Garante ha fornito alcuni esempi di misure idonee «i dati personali oggetto del trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico» (art. 31 D.Lgs. 196/2003) La c.d. distanza di cortesia appare in goni caso una misura opportuna per prevenire l’accesso non autorizzato da parte di terzi, che può avvenire anche in modo passivo (ad es., da parte di uno dei componenti la «fila», il quale si limiti ad ascoltare da una posizione molto vicina all’operatore di sportello e al cliente, il dialogo tra questi ultimi eventualmente concernente dati personali. (Provv. 30 marzo 1998 [doc. web n. 39646]) «La sicurezza non è un prodotto, ma un processo. Un processo, che, possiamo aggiungere, è strettamente legato sia alla invenzione di macchine e sistemi più progrediti, che alla creazione di applicazioni software sempre più sofisticate.» (Scheneier, 2004)
  • 11. Allegato B Codice Protezione Dati Personali Disciplinare tecnico in materia di misure minime di sicurezza • Specificazione analitica dell’insieme delle misure di sicurezza logiche, fisiche ed organizzative, che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall’art. 31 del Codice. • Gli obblighi indicati nell’allegato B non devono intendersi esaustivi, ma rappresentano un sottoinsieme della più apia categoria delle misure idonee. • Nel 2014 il Garante ha segnalato la necessità di aggiornare le prescrizioni in base al progresso scientifico. I principi di revisione dovrebbero essere ispirati a criteri di semplificazione e di maggiore effettività delle misure (non solo adempimenti burocratici).
  • 12. Provvedimento 27 novembre 2008 Misure e accorgimenti relativamente alle attribuzioni delle funzioni di amministratore di sistema
  • 13. Amministratori di Sistema Ampia definizione: Figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti e altre figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi. Misure prescritte 1. Valutazione delle caratteristiche soggettive; 2. Designazioni individuali; 3. Elenco degli amministratori di sistema; 4. Verifica delle attività; 5. Servizi in outsourcing; 6. Verifica delle attività; 7. Registrazione degli accessi.
  • 14. Regolamento (UE) 2016/679 Relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati
  • 15. Misure Tecniche ed Organizzative Adeguare «Al fine di garantire un trattamento corretto e trasparente nel rispetto dell'interessato, tenendo in considerazione le circostanze e il contesto specifici in cui i dati personali sono trattati, è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell'interessato e che impedisca tra l'altro effetti discriminatori nei confronti di persone fisiche […].» (Considerando 71) «La tutela dei diritti e delle libertà delle persone fisiche relativamente al trattamento dei dati personali richiede l'adozione di misure tecniche e organizzative adeguate per garantire il rispetto delle disposizioni del presente regolamento.» (Considerando 78)
  • 16. Principi Generali • Minimizzazione dei dati: devono essere raccolti solo i dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (Principi di proporzionalità e di necessità) • Titolare e Responsabile del trattamento sono tenuti ad “attuare misure tecniche e organizzative” adeguate tenendo conto “dello stato dell’arte e dei costi di attuazione, nonché della natura, del campo di applicazione, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” (Articolo 32) • Misure di mitigazione del rischio quali “la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; una procedura per provare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
  • 17. Data Protection Impact Assessment Valutazione d'impatto sulla protezione dei dati (Art. 35) 1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. 2. Il titolare del trattamento, allorquando svolge una valutazione d'impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno. 3. La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; o c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
  • 18. Data Protection Impact Assessment Valutazione d'impatto sulla protezione dei dati (Art. 35) 1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. (…) L’obbligo di svolgere il Data Protection Impact Assessment (DPIA), per i trattamenti delicati e ad alto rischio (ad es.. il monitoraggio sistematico e su larga scala); le piccole medie imprese non avranno l’obbligo di effettuare la valutazione d’impatto sulla protezione dei dati (“privacy impact assessment”), tranne nel caso in cui il trattamento presenti un rischio elevato per i diritti e le libertà delle persone fisiche. In tal caso il responsabile dovrà preventivamente consultare l’Autorità di controllo.
  • 19. Registro delle Attività di Trattamento (i) Ai senti dell’Articolo 30, Titolare e Responsabile del trattamento dovranno tenere un registro delle attività di trattamento svolte sotto la propria responsabilità. (…) Tale registro contiene tutte le seguenti informazioni: a)il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; 4.5.2016 L 119/50 Gazzetta ufficiale dell'Unione europea IT (segue)
  • 20. Registro delle Attività di Trattamento (ii) d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.
  • 21. Notifica di una violazione dei dati Definizione «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. Articolo 33 1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. (…)
  • 22. Notifica di una violazione dei dati 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. (…) 5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.
  • 23. Data Breach  Affidabilità nel trattamento dei dati e delle informazioni di titolarità dei propri clienti in sede di instaurazione della relazione professionale  Requisiti di sicurezza che devono essere soddisfatti per avere accesso alle informazioni di proprietà del cliente (anche in relazione alla natura e grado di confidenzialità delle stesse) Garantire - ricordando l’evoluzione tecnologica e specializzazione tematica - che i dati dei clienti raccolti, trattati e conservati dalla propria struttura siano al sicuro da qualsiasi accesso abusivo ed uso improprio Le violazioni delle informazioni e dei dati personali (data breach) possono allontanare i clienti e distruggere la credibilità SICUREZZA
  • 24.  Tendenza diffusa dei clienti (es. multinazionali) di vigilanza e audit sull'attività di trattamento dei propri dati e informazioni all'interno della sfera operativa dello Studio al fine di verificare che il livello di protezione sia adeguato • Relazioni e stesura di report sulle misure di sicurezza adottate, su base periodica o su richiesta del cliente • Puntuali dichiarazioni di conformità in relazione a quanto stabilito dalla normativa privacy • Liste di controllo e Risk assessment questionnaire con domande mirate e risposte multiple • consegna di copia del Documento Programmatico sulla Sicurezza • “Sigillo” privacy, incoraggiato dal nuovo Regolamento europeo al fine di certificare il livello di protezione dei dati garantito dai titolari del trattamento.
  • 25. La Gestione degli Obblighi di Sicurezza e Programmazione dei Futuri Adempimenti
  • 26. Obblighi di Sicurezza 1. Definizione della struttura organizzativa (Titolare, Responsabile, Incaricato del trattamento) e rispettive competenze in tema di gestione della sicurezza; • Mappatura completa dei flussi di dati interni ed esterni; • Definizione e verifica annuale dei profili di autorizzazione; • Formazione; • Previsione di controlli e azioni disciplinari in caso di condotte anomale. 2. Censimento periodico dei dati e delle informazioni trattate, dei supporti fisici ed elettronici di trattamento e conservazione; • Analisi dei rischi ed individuazione delle rispettive strategie di gestione; • Redazione, verifica ed aggiornamento di procedure di sicurezza interna e risk management; • Periodica verifica delle misure di sicurezza adottate (audit interni, colloqui con IT, questionari di autovalutazione, report, ecc.); • Ripristino disponibilità dei dati e realizzazione di copie di sicurezza (backup e disaster recovery).
  • 27. Roma Via delle Quattro Fontane, 20 00184 Roma Tel. +39 06 478751 Fax +39 06 4871101 Milano Piazza Belgioioso, 2 20121 Milano Tel. +39 02 763741 Fax +39 02 76009628 Bologna Via Massimo D'Azeglio, 25 40123 Bologna Tel. +39 051 6443611 Fax +39 051 271669 Padova Piazza Eremitani, 18 35121 Padova Tel. +39 049 6994411 Fax +39 049 660341 Torino C.so Vittorio Emanuele II, 83 10128 Torino Tel. +39 011 5660277 Fax +39 011 5185932 Abu Dhabi Penthouse 2102 CI Tower - 32nd St. P.O. Box 42790 Abu Dhabi Tel. +971 2 815 3333 Fax +971 2 679 6664 Brussels 184, Avenue Molière B-1050 Brussels Tel. +32 23401550 Fax +32 23401559 London 6 - 8 Tokenhouse Yard London EC2R 7AS Tel. +44 2073971700 Fax +44 2073971701 New York 1221 Avenue of the Americas - 42nd Floor New York, NY 10020 Tel. +1 212 957 9600 Fax +1 212 957 9608 Le nostre Sedi Hong Kong Unit 208 - 2nd Floor St. George’s Building 2 Ice House Street Central - Hong Kong Tel. + 852 21563490 Fax + 852 21563499 In Italia… … e all’estero
  • 28. Il presente documento è stato elaborato da Gianni, Origoni, Grippo, Cappelli & Partners e reso disponibile a mero scopo informativo. Il presente documento è aggiornato alla data indicata sulla prima pagina. Le informazioni contenute nel presente documento, di cui non si garantisce la completezza, non costituiscono né un parere legale, né un esame esaustivo della materia, né possono sostituirsi a un parere rilasciato su specifiche questioni concrete. Gianni, Origoni, Grippo, Cappelli & Partners non può essere ritenuto responsabile per eventuali danni, diretti o indiretti, derivanti dall’utilizzo improprio del presente documento o del suo contenuto o comunque connessi al suo utilizzo. Il presente documento non può essere riprodotto, distribuito o pubblicato in tutto o in parte, per qualsiasi scopo, senza l’espressa autorizzazione da parte di Gianni, Origoni, Grippo, Cappelli & Partners. Per qualsiasi ulteriore chiarimento si prega di contattare Gianni, Origoni, Grippo, Cappelli & Partners. Grazie per l’attenzione