SlideShare a Scribd company logo

2 fornaro fiera del levante sicurezza gdp r

Download as PPTX, PDF
Redazione InnovaPuglia
Redazione InnovaPuglia

Intervento di Lino Fornaro CLUSIT 14 settembre 2017 Open days "Cybersecurity"

1 of 33
LE MISURE DI SICUREZZA NEL REGOLAMENTO EU 679/2016 Autore Lino Fornaro, Senior Security consultant, Evolumia SRL Direttivo Clusit
 Senior Security Consultant  Lead Auditor ISO/IEC 27001:13  OSSTMM PROFESSIONAL SECURITY TESTER - OPST  OSSTMM PROFESSIONAL SECURITY ANALYST - OPSA  ISECOM Certified Trainer  Certificato ICT Security Manager – registro AICQ Sicev  Docente Master sulla Sicurezza (ICS) presso TILS - L’Aquila  Relatore in conferenze di sensibilizzazione sul tema ICT Security  Esperto Normativa Italiana Privacy (DLgs 196/03)  Esperto normative europee Cybersecurity  Membro Comitato Direttivo CLUSIT  Membro Comitato Tecnico Scientifico AICQ Sicev “Uni 11506 Certificazioni informatiche”  Membro sottocommissione SC27 di UNINFO  Socio Fondatore ANORC, Membro Coordinamento ANORC Privacy $whois Lino Fornaro
La sicurezza eletta a “Principio” nel trattamento dei dati personali Art. 5 PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI PERSONALI 1. I dati personali sono: ….... f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”)
Art.25 Protezione dei Dati sin dalla progettazione (PRIVACY by Design) Tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento… ..come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento…. ..sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso Il titolare del trattamento mette in atto misure techiche ed organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati
Art.25 … e protezione per impostazione predefinita (PRIVACY by Default) Il titolare mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità di trattamento, ….. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. ... In particolare dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali ad un numero indefinito di persone fisiche senza l’intervento della persona fisica. Un meccanismo di certificazione approvato ai sensi dell’art.42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti......
PRIVACY by Design I 7 PRINCIPI 1. Proattivo non reattivo – prevenire non correggere 2. Privacy come impostazione di default 3. Privacy incorporata nella progettazione 4. Massima funzionalità − Valore positivo, non valore zero 5. Sicurezza fino alla fine − Piena protezione del ciclo vitale 6. Visibilità e trasparenza − Mantenere la trasparenza 7. Rispetto per la privacy dell'utente − Centralità dell'utente
PRIVACY by Design OBIETTIVI L'obiettivo principale è quello di elaborare due concetti: • La protezione dei dati • La protezione degli utenti prestando molta attenzione sull'aspetto della privacy e, successivamente, su quello dei diritti. L'utente diventa il punto di partenza per sviluppare il progetto in base alla legge sulla privacy e quindi con un approccio “user centric”.
Pseudonimizzazione ? Il trattamento di dati personali in modo tale che i dati personali non possano essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. ATTENZIONE: DIVERSO DAL DATO ANONIMO
La Pseudonimizzazione E’ una misura tecnica di “privacy by Design” che si pone l’obiettivo di “allontanare” il dato dalla persona., rendendo complessa la riferibilità del dato alla persona stessa, senza tuttavia “rompere” il legame che esiste tra il dato e la persona, come è invece obiettivo delle tecniche di anonimizzazione.
IL RICORSO ALL’ANALISI DEL RISCHIO Il Regolamento introduce un impianto normativo complessivamente basato sul rischio, incoraggiando i titolari (e i responsabili) ad adottare scelte coerenti con rischi misurati in ogni decisione che riguarda il trattamento dei dati. Nel GDPR il rischio è un elemento centrale e discriminante Il rischio è menzionato più di 70 VOLTE nel GDPR!!! RISKANALISYS
IL RICORSO ALL’ANALISI DEL RISCHIO il GDPR richiede alle organizzazioni di valutare la “probabilità e la gravità del rischio” delle loro operazioni di trattamento dei dati personali, ai diritti e alle libertà fondamentali delle persone. Per le operazioni di trattamento che comportano rischi minori per i diritti e le libertà fondamentali delle persone possono generalmente risultare un minor numero di obblighi di conformità, mentre le operazioni di trattamento “ad alto rischio” aumenteranno gli obblighi di conformità aggiuntivi, come le valutazioni di impatto sulla protezione dei dati (concetto di SCALABILITA’) RISKANALISYS
IL RICORSO ALL’ANALISI DEL RISCHIO La Scalabilità e l'approccio basato sul rischio sono strettamente legate a meccanismi di incentivazione di responsabilità, richiamati da un altro principio fondamentale del GDPR Principio di «accountability» (art. 24) (responsabilizzazione) Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. RISKANALISYS
I RISCHI PRIVACY Il considerando (75) contiene un elenco di eventi pregiudizievoli per i diritti dell’interessato che possono derivare dalle attività di trattamento: • Discriminazione • Furto o usurpazione di identità • Perdite finanziarie • Pregiudizio alla reputazione • perdita di riservatezza dei dati personali protetti da segreto professionale • decifratura non autorizzata della pseudonimizzazione • qualsiasi altro danno economico o sociale significativo • Impedimento dell'esercizio del controllo sui dati personali • valutazione di aspetti personali • Trattamenti di dati «sensibili», «giudiziari», di minori RISKANALISYS
Alcune considerazioni su Privacy Risk Analysis Considerando i benefici, in via preliminare. I benefici devono essere considerati, in via preliminare nella valutazione del rischio in quanto sono legati alla finalità del trattamento. I vantaggi e le finalità del trattamento devono essere tenuti in considerazione al momento di definire le mitigazioni per evitare una riduzione delle prestazioni non necessarie o di minare degli scopi. RISKANALISYS
Alcune considerazioni su Privacy Risk Analysis COSA prendere in considerazione per determinare i rischi Privacy: 1. attività di trattamento potenzialmente rischiose che potrebbero provocare danni 2. le potenziali minacce in qualsiasi trattamento. 3. la probabilità e la gravità di eventuali danni che potrebbero derivare da trattamenti rischiosi o minacce RISKANALISYS
Alcune considerazioni su Privacy Risk Analysis Le seguenti attività di trattamento si qualificano come potenzialmente rischiose che possono provocare danni: • trattamento dei dati di persone vulnerabili, quali i dati sui minori; • elaborazione di grandi quantità di dati che interessano un gran numero di individui; • impegnarsi in un “nuovo tipo” di trattamento, oppure quando è trascorso molto tempo da un primo DPIA; • trattamento automatizzato, inclusa la profilazione, che fornisce una base per le decisioni con effetto giuridico o un effetto altrettanto significativo; RISKANALISYS
Alcune considerazioni su Privacy Risk Analysis Le seguenti attività di trattamento si qualificano come potenzialmente rischiose che possono provocare danni: • elaborazione su larga scala di categorie particolari di dati, e dati su condanne penali e reati; • trattamento su larga scala e il monitoraggio sistematico delle aree accessibili al pubblico; e • uso delle nuove tecnologie. Questo elenco di trattamenti rischiosi o “trigger rischio” non è esclusivo e ce ne possono essere altri che le organizzazioni devono prendere in considerazione di volta in volta in base al contesto RISKANALISYS
Alcune considerazioni su Privacy Risk Analysis Una valutazione dei rischi dovrebbe prendere in considerazione le potenziali minacce in qualsiasi trattamento: • Raccolta ingiustificata o eccessiva di dati; • l'uso o la conservazione dei dati inesatti o non aggiornati; • uso improprio o abuso dei dati, tra cui: a) l'uso dei dati oltre le ragionevoli aspettative degli individui; b) l'uso insolito di dati oltre le norme societarie, cui ogni individuo ragionevole in questo contesto potrebbe opporsi; o c) l'inferenza ingiustificabile o decisioni, da cui l'organizzazione non può oggettivamente difendersi; • perdita o furto o distruzione e alterazione dei dati; e • Accesso ingiustificabile o non autorizzato, il trasferimento, la condivisione o la pubblicazione di dati. RISKANALISYS
Alcune considerazioni su Privacy Risk Analysis Infine, le organizzazioni devono valutare la probabilità e la gravità di eventuali danni che potrebbero derivare da trattamenti rischiosi o minacce: a) danno materiale, tangibile, fisico o economico agli individui, come ad esempio: • danno fisico; • perdita della libertà o della libertà di movimento; • danni alla capacità di guadagno e perdita finanziaria ; e • altri danni significativi agli interessi economici, ad esempio derivanti dal furto di identità. RISKANALISYS
Alcune considerazioni su Privacy Risk Analysis b) danno non materiale, disagio immateriale su individui, quali: • danno derivante dal monitoraggio o l'esposizione di identità, caratteristiche, attività, associazioni o opinioni; • effetto dannoso sulla libertà di parola, di associazione, ecc .; • danno reputazionale; • paure personali, familiari, di lavoro o sociale, imbarazzo, apprensione o ansia; • intrusione inaccettabile nella vita privata; • la discriminazione illegale o stigmatizzazione; • perdita di autonomia; • decurtazione inadeguato di scelta personale; • furto d'identità; e • la privazione di controllo sui dati personali. RISKANALISYS
Art.32 Sicurezza del trattamento Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché • della natura • dell’oggetto • del contesto • delle finalità del trattamento come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: RISKANALISYS
Art.32 Sicurezza del trattamento a) La pseudonimizazione e la cifratura dei dati personali; (utile in caso di data breach) b) La capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; (capacità di adattamento a condizione d’uso e resistenza a situazioni avverse per garantire disponibilità dei servizi erogati) a) La capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; (procedure di DR e incident response) b) Una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento RISKANALISYS,DR,ISO
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. L’adesione ad un codice di condotta approvato di cui all’art.40 o a un meccanismo di certificazione approvato di cui all’art.42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo Art.32 Sicurezza del trattamento RISKANALISYS
Art.33 Notifica di una violazione dei dati personali all’autorità di controllo 1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo …. senza ingiustificato ritardo ...entro 72 ore(*) dal momento in cui è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche (**) DATABREACH (*) Misure tecniche che individuino la violazione e notifichino il titolare (**) ricorso alla cifratura, a patto che le chiavi crittografiche siano al sicuro (e non sui sistemi violati)
La notifica d cui al paragrafo 1 deve almeno: a) Descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni di dati personali in questione; b) Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere informazioni; DATABREACH Art.33 Notifica di una violazione dei dati personali all’autorità di controllo
La notifica di cui al paragrafo 1 deve almeno: c) Descrivere le probabili conseguenze della violazione (*) dei dati personali d) Descrivere le misure adottate o di cui si propone l’adozione da parte del titolare per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi (**) (*) la Risk Analisys dovrebbe aver contemplato e misurato questo rischio e determinato le misure preventive (**) un piano di Risposta agli incidenti e una strategia di gestione della crisi sono fortemente consigliate DATABREACH Art.33 Notifica di una violazione dei dati personali all’autorità di controllo
1. Quando la violazione di dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persona fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo 2. La comunicazione all’interessato …. descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le raccomandazioni di cui all’art.33, par.3 lettere b) c) e d). DATABREACH Art.34 COMUNICAZIONE di una violazione dei dati personali ALL’INTERESSATO
a) 3. Non è richiesta la comunicazione all’interessato… se è soddisfatta una delle seguenti condizioni: b) Il titolare ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura. DATABREACH Art.34 COMUNICAZIONE di una violazione dei dati personali ALL’INTERESSATO
b) Il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessatindi cui al par.1 c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. Una strategia di comunicazione che tuteli l’immagine e che preservi il business aziendale è necessaria DATABREACH Art.34 COMUNICAZIONE di una violazione dei dati personali ALL’INTERESSATO
Danni fisici, materiali, morali Perdita del controllo dei dati Discriminazione Furto o usurpazione d'identità Decifratura non autorizzata della pseudonimizzazione Pregiudizio alla reputazione Perdita di riservatezza dei dati protetti da segreto professionale Perdite finanziarie Etc. DATABREACH Art.34 COMUNICAZIONE di una violazione dei dati personali ALL’INTERESSATO
Paragrafo 1 Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. Art.35 Valutazione d’impatto sulla protezione dei dati
Il Titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno Art.35 Valutazione d’impatto sulla protezione dei dati
GRAZIE per l’attenzione Lino Fornaro, Evolumia srl Senior Security Consultant e Privacy Advisor l.fornaro@evolumia.it

Recommended

Sicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuitySicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuity
Business Resiliente
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
Jürgen Ambrosi
 
Sicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionaliSicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionaliDI.TECH - Innovazione per la distribuzione
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealth
Adriano Bertolino
 
Flussi sanitari: Privacy e Big Data
Flussi sanitari: Privacy e Big DataFlussi sanitari: Privacy e Big Data
Flussi sanitari: Privacy e Big Data
Adriano Bertolino
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Par-Tec S.p.A.
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
Audit in Italy
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL Server
Cristiano Gasparotto
 

Recommended

Sicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuitySicurezza informazioni e dati + business continuity
Sicurezza informazioni e dati + business continuity
Business Resiliente
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
Jürgen Ambrosi
 
Sicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionaliSicurezza: cosa si può fare approccio e best practice internazionali
Sicurezza: cosa si può fare approccio e best practice internazionaliDI.TECH - Innovazione per la distribuzione
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealth
Adriano Bertolino
 
Flussi sanitari: Privacy e Big Data
Flussi sanitari: Privacy e Big DataFlussi sanitari: Privacy e Big Data
Flussi sanitari: Privacy e Big Data
Adriano Bertolino
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Par-Tec S.p.A.
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
Audit in Italy
 
La gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL ServerLa gestione dei database secondo il GDPR - SQL Server
La gestione dei database secondo il GDPR - SQL Server
Cristiano Gasparotto
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
Talea Consulting Srl
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
EuroPrivacy
 
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Digital Law Communication
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
EuroPrivacy
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Adriano Bertolino
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
EuroPrivacy
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Maurizio Taglioretti
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)
EuroPrivacy
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
EuroPrivacy
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
EuroPrivacy
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
Roberto Lorenzetti
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001
Fabrizio Di Crosta
 
Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013
Sylvio Verrecchia - IT Security Engineer
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Andrea Ballandino
 
UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000
Fabio Guasconi
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
Par-Tec S.p.A.
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
ciii_inginf
 
Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013
Pasquale Lopriore
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
Alessio Farina
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legali
Stefano Corsini
 
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
Barbieri & Associati Dottori Commercialisti - Bologna
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
CSI Piemonte
 

More Related Content

What's hot

SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
Talea Consulting Srl
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
EuroPrivacy
 
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Digital Law Communication
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
EuroPrivacy
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Adriano Bertolino
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
EuroPrivacy
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Maurizio Taglioretti
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)
EuroPrivacy
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
EuroPrivacy
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
EuroPrivacy
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
Roberto Lorenzetti
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001
Fabrizio Di Crosta
 
Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013
Sylvio Verrecchia - IT Security Engineer
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Andrea Ballandino
 
UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000
Fabio Guasconi
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
Par-Tec S.p.A.
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
ciii_inginf
 
Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013
Pasquale Lopriore
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
Alessio Farina
 

What's hot (19)

SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
 
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
Innovazione Digitale e Gestione della Sicurezza: ISO 27001 da standard volon...
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
 
La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001
 
Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
 
UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000UNINFO - Le nuove norme della famiglia 27000
UNINFO - Le nuove norme della famiglia 27000
 
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliMySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personali
 
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeI controlli della ISO 27002:2014 nei reparti produttivi delle aziende
I controlli della ISO 27002:2014 nei reparti produttivi delle aziende
 
Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013Amministratore di sistema - Principali reati informatici Ver.2013
Amministratore di sistema - Principali reati informatici Ver.2013
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 

Similar to 2 fornaro fiera del levante sicurezza gdp r

Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legali
Stefano Corsini
 
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
Barbieri & Associati Dottori Commercialisti - Bologna
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
CSI Piemonte
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guida
Ordine Ingegneri Lecco
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali ParmaPolaris informatica
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
Giuseppe Ricci
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
SMAU
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.
gmorelli78
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018
Marco Turolla
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018
mobi-TECH
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
Adriano Bertolino
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017
SMAU
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
M2 Informatica
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
SMAU
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
M2 Informatica
 
Smau Milano 2014 - Valentina Frediani
Smau Milano 2014 - Valentina FredianiSmau Milano 2014 - Valentina Frediani
Smau Milano 2014 - Valentina Frediani
SMAU
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
CentoCinquanta srl
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
M2 Informatica
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
CSI Piemonte
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPR
Maurilio Savoldi
 

Similar to 2 fornaro fiera del levante sicurezza gdp r (20)

Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legali
 
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
 
GDPR - WP29, linee guida
GDPR - WP29, linee guidaGDPR - WP29, linee guida
GDPR - WP29, linee guida
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
 
Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017Able Tech - SMAU Milano 2017
Able Tech - SMAU Milano 2017
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018
 
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINOODCEC Palermo 2018 04 12 GDPR BERTOLINO
ODCEC Palermo 2018 04 12 GDPR BERTOLINO
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
Smau Bologna|R2B 2019 Davide Giribaldi (Assintel)
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
 
Smau Milano 2014 - Valentina Frediani
Smau Milano 2014 - Valentina FredianiSmau Milano 2014 - Valentina Frediani
Smau Milano 2014 - Valentina Frediani
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi TelematiciI Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPR
 

More from Redazione InnovaPuglia

Piano triennale 2022-2024 - PRESNTAZIONE
Piano triennale 2022-2024 - PRESNTAZIONEPiano triennale 2022-2024 - PRESNTAZIONE
Piano triennale 2022-2024 - PRESNTAZIONE
Redazione InnovaPuglia
 
PIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdf
PIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdfPIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdf
PIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdf
Redazione InnovaPuglia
 
Presentazione innovapuglia _settembre2016.pptx
Presentazione innovapuglia _settembre2016.pptxPresentazione innovapuglia _settembre2016.pptx
Presentazione innovapuglia _settembre2016.pptx
Redazione InnovaPuglia
 
InnovaPuglia 2014 2018
InnovaPuglia 2014 2018InnovaPuglia 2014 2018
InnovaPuglia 2014 2018
Redazione InnovaPuglia
 
InnovaPuglia: I primi due anni
InnovaPuglia: I primi due anniInnovaPuglia: I primi due anni
InnovaPuglia: I primi due anni
Redazione InnovaPuglia
 
InnovaPuglia 2015
InnovaPuglia 2015InnovaPuglia 2015
InnovaPuglia 2015
Redazione InnovaPuglia
 
Sird imm Presentazione regione puglia
Sird imm Presentazione regione pugliaSird imm Presentazione regione puglia
Sird imm Presentazione regione puglia
Redazione InnovaPuglia
 
Presentazione InnovaPuglia 2021
Presentazione InnovaPuglia 2021Presentazione InnovaPuglia 2021
Presentazione InnovaPuglia 2021
Redazione InnovaPuglia
 
Procedura bando innoprocess
Procedura bando innoprocessProcedura bando innoprocess
Procedura bando innoprocess
Redazione InnovaPuglia
 
Presentazione innoprocess
Presentazione innoprocessPresentazione innoprocess
Presentazione innoprocess
Redazione InnovaPuglia
 
Intervento Francesco Surico, InnovaPuglia, 16-17 dicembre Bari
Intervento Francesco Surico, InnovaPuglia, 16-17 dicembre BariIntervento Francesco Surico, InnovaPuglia, 16-17 dicembre Bari
Intervento Francesco Surico, InnovaPuglia, 16-17 dicembre Bari
Redazione InnovaPuglia
 
Intervento Crescenzo Marino, Regione Puglia, 16-17 dicembre Bari
Intervento Crescenzo Marino, Regione Puglia, 16-17 dicembre BariIntervento Crescenzo Marino, Regione Puglia, 16-17 dicembre Bari
Intervento Crescenzo Marino, Regione Puglia, 16-17 dicembre Bari
Redazione InnovaPuglia
 
Chris neely the future of cyber security events 3
Chris neely the future of cyber security events 3Chris neely the future of cyber security events 3
Chris neely the future of cyber security events 3
Redazione InnovaPuglia
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni light
Redazione InnovaPuglia
 
The new frontiers of it in apulia experiences for global security paul dcruz ...
The new frontiers of it in apulia experiences for global security paul dcruz ...The new frontiers of it in apulia experiences for global security paul dcruz ...
The new frontiers of it in apulia experiences for global security paul dcruz ...
Redazione InnovaPuglia
 
Intervento Danilo Caivano a International Business Forum
Intervento Danilo Caivano a International Business Forum Intervento Danilo Caivano a International Business Forum
Intervento Danilo Caivano a International Business Forum
Redazione InnovaPuglia
 
Intervento Marco Angelini a International Business Forum
Intervento Marco Angelini a International Business Forum Intervento Marco Angelini a International Business Forum
Intervento Marco Angelini a International Business Forum
Redazione InnovaPuglia
 
Intervento Francesco Vestito a International Business Forum
Intervento Francesco Vestito a International Business ForumIntervento Francesco Vestito a International Business Forum
Intervento Francesco Vestito a International Business Forum
Redazione InnovaPuglia
 
The Social&Creative Community featured by TALIA project
The Social&Creative Community featured by TALIA projectThe Social&Creative Community featured by TALIA project
The Social&Creative Community featured by TALIA project
Redazione InnovaPuglia
 
Presentazione Marco Curci
Presentazione Marco Curci Presentazione Marco Curci
Presentazione Marco Curci
Redazione InnovaPuglia
 

More from Redazione InnovaPuglia (20)

Piano triennale 2022-2024 - PRESNTAZIONE
Piano triennale 2022-2024 - PRESNTAZIONEPiano triennale 2022-2024 - PRESNTAZIONE
Piano triennale 2022-2024 - PRESNTAZIONE
 
PIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdf
PIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdfPIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdf
PIANO TRIENNALE 2022-2024 vers.5_03-03_22.pdf
 
Presentazione innovapuglia _settembre2016.pptx
Presentazione innovapuglia _settembre2016.pptxPresentazione innovapuglia _settembre2016.pptx
Presentazione innovapuglia _settembre2016.pptx
 
InnovaPuglia 2014 2018
InnovaPuglia 2014 2018InnovaPuglia 2014 2018
InnovaPuglia 2014 2018
 
InnovaPuglia: I primi due anni
InnovaPuglia: I primi due anniInnovaPuglia: I primi due anni
InnovaPuglia: I primi due anni
 
InnovaPuglia 2015
InnovaPuglia 2015InnovaPuglia 2015
InnovaPuglia 2015
 
Sird imm Presentazione regione puglia
Sird imm Presentazione regione pugliaSird imm Presentazione regione puglia
Sird imm Presentazione regione puglia
 
Presentazione InnovaPuglia 2021
Presentazione InnovaPuglia 2021Presentazione InnovaPuglia 2021
Presentazione InnovaPuglia 2021
 
Procedura bando innoprocess
Procedura bando innoprocessProcedura bando innoprocess
Procedura bando innoprocess
 
Presentazione innoprocess
Presentazione innoprocessPresentazione innoprocess
Presentazione innoprocess
 
Intervento Francesco Surico, InnovaPuglia, 16-17 dicembre Bari
Intervento Francesco Surico, InnovaPuglia, 16-17 dicembre BariIntervento Francesco Surico, InnovaPuglia, 16-17 dicembre Bari
Intervento Francesco Surico, InnovaPuglia, 16-17 dicembre Bari
 
Intervento Crescenzo Marino, Regione Puglia, 16-17 dicembre Bari
Intervento Crescenzo Marino, Regione Puglia, 16-17 dicembre BariIntervento Crescenzo Marino, Regione Puglia, 16-17 dicembre Bari
Intervento Crescenzo Marino, Regione Puglia, 16-17 dicembre Bari
 
Chris neely the future of cyber security events 3
Chris neely the future of cyber security events 3Chris neely the future of cyber security events 3
Chris neely the future of cyber security events 3
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni light
 
The new frontiers of it in apulia experiences for global security paul dcruz ...
The new frontiers of it in apulia experiences for global security paul dcruz ...The new frontiers of it in apulia experiences for global security paul dcruz ...
The new frontiers of it in apulia experiences for global security paul dcruz ...
 
Intervento Danilo Caivano a International Business Forum
Intervento Danilo Caivano a International Business Forum Intervento Danilo Caivano a International Business Forum
Intervento Danilo Caivano a International Business Forum
 
Intervento Marco Angelini a International Business Forum
Intervento Marco Angelini a International Business Forum Intervento Marco Angelini a International Business Forum
Intervento Marco Angelini a International Business Forum
 
Intervento Francesco Vestito a International Business Forum
Intervento Francesco Vestito a International Business ForumIntervento Francesco Vestito a International Business Forum
Intervento Francesco Vestito a International Business Forum
 
The Social&Creative Community featured by TALIA project
The Social&Creative Community featured by TALIA projectThe Social&Creative Community featured by TALIA project
The Social&Creative Community featured by TALIA project
 
Presentazione Marco Curci
Presentazione Marco Curci Presentazione Marco Curci
Presentazione Marco Curci
 

2 fornaro fiera del levante sicurezza gdp r

  • 1. LE MISURE DI SICUREZZA NEL REGOLAMENTO EU 679/2016 Autore Lino Fornaro, Senior Security consultant, Evolumia SRL Direttivo Clusit
  • 2.  Senior Security Consultant  Lead Auditor ISO/IEC 27001:13  OSSTMM PROFESSIONAL SECURITY TESTER - OPST  OSSTMM PROFESSIONAL SECURITY ANALYST - OPSA  ISECOM Certified Trainer  Certificato ICT Security Manager – registro AICQ Sicev  Docente Master sulla Sicurezza (ICS) presso TILS - L’Aquila  Relatore in conferenze di sensibilizzazione sul tema ICT Security  Esperto Normativa Italiana Privacy (DLgs 196/03)  Esperto normative europee Cybersecurity  Membro Comitato Direttivo CLUSIT  Membro Comitato Tecnico Scientifico AICQ Sicev “Uni 11506 Certificazioni informatiche”  Membro sottocommissione SC27 di UNINFO  Socio Fondatore ANORC, Membro Coordinamento ANORC Privacy $whois Lino Fornaro
  • 3. La sicurezza eletta a “Principio” nel trattamento dei dati personali Art. 5 PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI PERSONALI 1. I dati personali sono: ….... f) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (“integrità e riservatezza”)
  • 4. Art.25 Protezione dei Dati sin dalla progettazione (PRIVACY by Design) Tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento… ..come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento…. ..sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso Il titolare del trattamento mette in atto misure techiche ed organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati
  • 5. Art.25 … e protezione per impostazione predefinita (PRIVACY by Default) Il titolare mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità di trattamento, ….. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. ... In particolare dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali ad un numero indefinito di persone fisiche senza l’intervento della persona fisica. Un meccanismo di certificazione approvato ai sensi dell’art.42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti......
  • 6. PRIVACY by Design I 7 PRINCIPI 1. Proattivo non reattivo – prevenire non correggere 2. Privacy come impostazione di default 3. Privacy incorporata nella progettazione 4. Massima funzionalità − Valore positivo, non valore zero 5. Sicurezza fino alla fine − Piena protezione del ciclo vitale 6. Visibilità e trasparenza − Mantenere la trasparenza 7. Rispetto per la privacy dell'utente − Centralità dell'utente
  • 7. PRIVACY by Design OBIETTIVI L'obiettivo principale è quello di elaborare due concetti: • La protezione dei dati • La protezione degli utenti prestando molta attenzione sull'aspetto della privacy e, successivamente, su quello dei diritti. L'utente diventa il punto di partenza per sviluppare il progetto in base alla legge sulla privacy e quindi con un approccio “user centric”.
  • 8. Pseudonimizzazione ? Il trattamento di dati personali in modo tale che i dati personali non possano essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. ATTENZIONE: DIVERSO DAL DATO ANONIMO
  • 9. La Pseudonimizzazione E’ una misura tecnica di “privacy by Design” che si pone l’obiettivo di “allontanare” il dato dalla persona., rendendo complessa la riferibilità del dato alla persona stessa, senza tuttavia “rompere” il legame che esiste tra il dato e la persona, come è invece obiettivo delle tecniche di anonimizzazione.
  • 10. IL RICORSO ALL’ANALISI DEL RISCHIO Il Regolamento introduce un impianto normativo complessivamente basato sul rischio, incoraggiando i titolari (e i responsabili) ad adottare scelte coerenti con rischi misurati in ogni decisione che riguarda il trattamento dei dati. Nel GDPR il rischio è un elemento centrale e discriminante Il rischio è menzionato più di 70 VOLTE nel GDPR!!! RISKANALISYS
  • 11. IL RICORSO ALL’ANALISI DEL RISCHIO il GDPR richiede alle organizzazioni di valutare la “probabilità e la gravità del rischio” delle loro operazioni di trattamento dei dati personali, ai diritti e alle libertà fondamentali delle persone. Per le operazioni di trattamento che comportano rischi minori per i diritti e le libertà fondamentali delle persone possono generalmente risultare un minor numero di obblighi di conformità, mentre le operazioni di trattamento “ad alto rischio” aumenteranno gli obblighi di conformità aggiuntivi, come le valutazioni di impatto sulla protezione dei dati (concetto di SCALABILITA’) RISKANALISYS
  • 12. IL RICORSO ALL’ANALISI DEL RISCHIO La Scalabilità e l'approccio basato sul rischio sono strettamente legate a meccanismi di incentivazione di responsabilità, richiamati da un altro principio fondamentale del GDPR Principio di «accountability» (art. 24) (responsabilizzazione) Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. RISKANALISYS
  • 13. I RISCHI PRIVACY Il considerando (75) contiene un elenco di eventi pregiudizievoli per i diritti dell’interessato che possono derivare dalle attività di trattamento: • Discriminazione • Furto o usurpazione di identità • Perdite finanziarie • Pregiudizio alla reputazione • perdita di riservatezza dei dati personali protetti da segreto professionale • decifratura non autorizzata della pseudonimizzazione • qualsiasi altro danno economico o sociale significativo • Impedimento dell'esercizio del controllo sui dati personali • valutazione di aspetti personali • Trattamenti di dati «sensibili», «giudiziari», di minori RISKANALISYS
  • 14. Alcune considerazioni su Privacy Risk Analysis Considerando i benefici, in via preliminare. I benefici devono essere considerati, in via preliminare nella valutazione del rischio in quanto sono legati alla finalità del trattamento. I vantaggi e le finalità del trattamento devono essere tenuti in considerazione al momento di definire le mitigazioni per evitare una riduzione delle prestazioni non necessarie o di minare degli scopi. RISKANALISYS
  • 15. Alcune considerazioni su Privacy Risk Analysis COSA prendere in considerazione per determinare i rischi Privacy: 1. attività di trattamento potenzialmente rischiose che potrebbero provocare danni 2. le potenziali minacce in qualsiasi trattamento. 3. la probabilità e la gravità di eventuali danni che potrebbero derivare da trattamenti rischiosi o minacce RISKANALISYS
  • 16. Alcune considerazioni su Privacy Risk Analysis Le seguenti attività di trattamento si qualificano come potenzialmente rischiose che possono provocare danni: • trattamento dei dati di persone vulnerabili, quali i dati sui minori; • elaborazione di grandi quantità di dati che interessano un gran numero di individui; • impegnarsi in un “nuovo tipo” di trattamento, oppure quando è trascorso molto tempo da un primo DPIA; • trattamento automatizzato, inclusa la profilazione, che fornisce una base per le decisioni con effetto giuridico o un effetto altrettanto significativo; RISKANALISYS
  • 17. Alcune considerazioni su Privacy Risk Analysis Le seguenti attività di trattamento si qualificano come potenzialmente rischiose che possono provocare danni: • elaborazione su larga scala di categorie particolari di dati, e dati su condanne penali e reati; • trattamento su larga scala e il monitoraggio sistematico delle aree accessibili al pubblico; e • uso delle nuove tecnologie. Questo elenco di trattamenti rischiosi o “trigger rischio” non è esclusivo e ce ne possono essere altri che le organizzazioni devono prendere in considerazione di volta in volta in base al contesto RISKANALISYS
  • 18. Alcune considerazioni su Privacy Risk Analysis Una valutazione dei rischi dovrebbe prendere in considerazione le potenziali minacce in qualsiasi trattamento: • Raccolta ingiustificata o eccessiva di dati; • l'uso o la conservazione dei dati inesatti o non aggiornati; • uso improprio o abuso dei dati, tra cui: a) l'uso dei dati oltre le ragionevoli aspettative degli individui; b) l'uso insolito di dati oltre le norme societarie, cui ogni individuo ragionevole in questo contesto potrebbe opporsi; o c) l'inferenza ingiustificabile o decisioni, da cui l'organizzazione non può oggettivamente difendersi; • perdita o furto o distruzione e alterazione dei dati; e • Accesso ingiustificabile o non autorizzato, il trasferimento, la condivisione o la pubblicazione di dati. RISKANALISYS
  • 19. Alcune considerazioni su Privacy Risk Analysis Infine, le organizzazioni devono valutare la probabilità e la gravità di eventuali danni che potrebbero derivare da trattamenti rischiosi o minacce: a) danno materiale, tangibile, fisico o economico agli individui, come ad esempio: • danno fisico; • perdita della libertà o della libertà di movimento; • danni alla capacità di guadagno e perdita finanziaria ; e • altri danni significativi agli interessi economici, ad esempio derivanti dal furto di identità. RISKANALISYS
  • 20. Alcune considerazioni su Privacy Risk Analysis b) danno non materiale, disagio immateriale su individui, quali: • danno derivante dal monitoraggio o l'esposizione di identità, caratteristiche, attività, associazioni o opinioni; • effetto dannoso sulla libertà di parola, di associazione, ecc .; • danno reputazionale; • paure personali, familiari, di lavoro o sociale, imbarazzo, apprensione o ansia; • intrusione inaccettabile nella vita privata; • la discriminazione illegale o stigmatizzazione; • perdita di autonomia; • decurtazione inadeguato di scelta personale; • furto d'identità; e • la privazione di controllo sui dati personali. RISKANALISYS
  • 21. Art.32 Sicurezza del trattamento Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché • della natura • dell’oggetto • del contesto • delle finalità del trattamento come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: RISKANALISYS
  • 22. Art.32 Sicurezza del trattamento a) La pseudonimizazione e la cifratura dei dati personali; (utile in caso di data breach) b) La capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; (capacità di adattamento a condizione d’uso e resistenza a situazioni avverse per garantire disponibilità dei servizi erogati) a) La capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; (procedure di DR e incident response) b) Una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento RISKANALISYS,DR,ISO
  • 23. 2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 3. L’adesione ad un codice di condotta approvato di cui all’art.40 o a un meccanismo di certificazione approvato di cui all’art.42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo Art.32 Sicurezza del trattamento RISKANALISYS
  • 24. Art.33 Notifica di una violazione dei dati personali all’autorità di controllo 1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo …. senza ingiustificato ritardo ...entro 72 ore(*) dal momento in cui è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche (**) DATABREACH (*) Misure tecniche che individuino la violazione e notifichino il titolare (**) ricorso alla cifratura, a patto che le chiavi crittografiche siano al sicuro (e non sui sistemi violati)
  • 25. La notifica d cui al paragrafo 1 deve almeno: a) Descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni di dati personali in questione; b) Comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere informazioni; DATABREACH Art.33 Notifica di una violazione dei dati personali all’autorità di controllo
  • 26. La notifica di cui al paragrafo 1 deve almeno: c) Descrivere le probabili conseguenze della violazione (*) dei dati personali d) Descrivere le misure adottate o di cui si propone l’adozione da parte del titolare per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi (**) (*) la Risk Analisys dovrebbe aver contemplato e misurato questo rischio e determinato le misure preventive (**) un piano di Risposta agli incidenti e una strategia di gestione della crisi sono fortemente consigliate DATABREACH Art.33 Notifica di una violazione dei dati personali all’autorità di controllo
  • 27. 1. Quando la violazione di dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persona fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo 2. La comunicazione all’interessato …. descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le raccomandazioni di cui all’art.33, par.3 lettere b) c) e d). DATABREACH Art.34 COMUNICAZIONE di una violazione dei dati personali ALL’INTERESSATO
  • 28. a) 3. Non è richiesta la comunicazione all’interessato… se è soddisfatta una delle seguenti condizioni: b) Il titolare ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura. DATABREACH Art.34 COMUNICAZIONE di una violazione dei dati personali ALL’INTERESSATO
  • 29. b) Il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessatindi cui al par.1 c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia. Una strategia di comunicazione che tuteli l’immagine e che preservi il business aziendale è necessaria DATABREACH Art.34 COMUNICAZIONE di una violazione dei dati personali ALL’INTERESSATO
  • 30. Danni fisici, materiali, morali Perdita del controllo dei dati Discriminazione Furto o usurpazione d'identità Decifratura non autorizzata della pseudonimizzazione Pregiudizio alla reputazione Perdita di riservatezza dei dati protetti da segreto professionale Perdite finanziarie Etc. DATABREACH Art.34 COMUNICAZIONE di una violazione dei dati personali ALL’INTERESSATO
  • 31. Paragrafo 1 Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. Art.35 Valutazione d’impatto sulla protezione dei dati
  • 32. Il Titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno Art.35 Valutazione d’impatto sulla protezione dei dati
  • 33. GRAZIE per l’attenzione Lino Fornaro, Evolumia srl Senior Security Consultant e Privacy Advisor l.fornaro@evolumia.it