Un Mondo Pericoloso e Fragile: Rischi e Sicurezza.
Come salvaguardare il patrimonio delle informazioni? Come affrontare i temi della sicurezza delle informazioni e dei dati, della continuità operativa e le relative certificazioni ISO 27001 e ISO 22301 in maniera concreta senza pagare un capitale? L’Italia è uno dei paesi più sotto pressione: attacchi interni e attacchi esterni minacciano imprese e istituzioni. Le frodi nelle organizzazioni accelereranno in connessione con la crisi economica (le frodi in azienda sono cresciute in UK del 50% nel 2008 - fonte KPMG).
Investire Soldi per la Sicurezza e per la Business Continuity non è sempre una risposta corretta. Una risposta SEMPRE corretta è invece investire in un'analisi dei propri punti di debolezza e porre rimedio in maniera semplice ed efficace.
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Intervento con Daniele Mondello durante la Conferenza Nazionale Software Libero 2016 a Palermo sul tema Privacy e Big Data nel flussi d'informazione sanitari.
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
Come implementare un sistema di gestione della sicurezza delle informazioni (SGSI) conforme alla norma ISO 27001 che consenta di gestire la sicurezza di tutte le informazioni aziendali, quindi non solo dei dati personali, al fine di tutelare le informazioni aziendali dai rischi che possono correre ed organizzare e controllare i dati e i sistemi che li gestiscono.
L'avvento del GDPR nel Maggio del 2018 ci consente di fare una serie di riflessioni riguardo ai nostri database e ai dati in essi contenuti. Come dobbiamo prepararci?
Un Mondo Pericoloso e Fragile: Rischi e Sicurezza.
Come salvaguardare il patrimonio delle informazioni? Come affrontare i temi della sicurezza delle informazioni e dei dati, della continuità operativa e le relative certificazioni ISO 27001 e ISO 22301 in maniera concreta senza pagare un capitale? L’Italia è uno dei paesi più sotto pressione: attacchi interni e attacchi esterni minacciano imprese e istituzioni. Le frodi nelle organizzazioni accelereranno in connessione con la crisi economica (le frodi in azienda sono cresciute in UK del 50% nel 2008 - fonte KPMG).
Investire Soldi per la Sicurezza e per la Business Continuity non è sempre una risposta corretta. Una risposta SEMPRE corretta è invece investire in un'analisi dei propri punti di debolezza e porre rimedio in maniera semplice ed efficace.
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Intervento con Daniele Mondello durante la Conferenza Nazionale Software Libero 2016 a Palermo sul tema Privacy e Big Data nel flussi d'informazione sanitari.
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
Come implementare un sistema di gestione della sicurezza delle informazioni (SGSI) conforme alla norma ISO 27001 che consenta di gestire la sicurezza di tutte le informazioni aziendali, quindi non solo dei dati personali, al fine di tutelare le informazioni aziendali dai rischi che possono correre ed organizzare e controllare i dati e i sistemi che li gestiscono.
L'avvento del GDPR nel Maggio del 2018 ci consente di fare una serie di riflessioni riguardo ai nostri database e ai dati in essi contenuti. Come dobbiamo prepararci?
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
L'imminente entrata in vigore della GDPR e la recente evoluzione degli attacchi di tipo ransomware come WannaCry sono due argomenti che destano preoccupazione a tutte le aziende e tolgono il sonno ai responsabili IT. La buona notizia è che possiamo affrontare entrambi con maggiore serenità sfruttando le nuove funzionalità di Netwrix Auditor 9.0, una piattaforma di visibilità e governance che consente di individuare e combattere tempestivamente un'infezione ransomware ed allo stesso tempo permette di adeguarsi alla nuova GDPR nei tempi previsti.
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
La certificazione ISO 27001 del sistema di gestione per la sicurezza delle informazioni come strumento per assicurare la protezione dei dati personali secondo il Regolamento 679/2016 UE
Cos'è un Audit? Come svolgere tale attività secondo la norma UNI 19011:2011 e come eseguire gli audit su Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma internazionale UNI CEI ISO/IEC 27001:2013. La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un SGSI, ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali.
UNINFO - Le nuove norme della famiglia 27000Fabio Guasconi
Panoramica della 27000:2012 e delle nuovissime 27001 e 27002 del 2013 preparata dagli esperti del SC27 italiano di UNINFO che hanno contribuito duramente ai lavori per la loro uscita negli ultimi anni.
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
In occasione del MySQL Day 2018 di Roma il TechAdvisor Michelangelo Uberti ha fornito una panoramica delle contromisure tecnologiche a protezione del dato.
I punti trattati durante la presentazione sono:
- Presentazione dell’offerta Par-Tec dedicata a MySQL Enterprise Edition
- Le misure da adottare per essere compliant al GDPR
- La formazione ed i corsi Par-Tec Educational
- Le tecnologie a difesa del dato
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/il-gdpr-e-le-tecnologie-a-protezione-dei-dati-personali
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
Impianti industriali sotto attacco - come le tecnologie informatiche possono aumentare la sicurezza in ambito produttivo.
Il Sistema di Gestione della Sicurezza delle
Informazioni nei Reparti Produttivi - Standard di sicurezza e norme della famiglia ISO 27000.
Presentazione a cura di ing Fabrizio Di Crosta
Atti del Convegno A.I.G.A. svoltosi a Pordenone il 24 maggio 2012 sul tema "Adempimenti degli studi Legali: privacy, sicurezza e preventivi".
Slides Avvocato Stefano Corsini
Intervento di Melissa Marchese, Studio Legale Gianni, Origoni, Grippo Cappelli & Partners, in occasione del "16°Meeting Nazionale ACEF - Idee senza recinti", 28/10/2016, Sede della Regione Emilia Romagna, Bologna
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
Webinar "Il data breach: suggerimenti pratici per gestire gli incidenti" | 30 giugno 2021
Intervento di Selene Giupponi Council Member Women4Cyber Foundation e
Raoul Chiesa Co-Founder Swascan e Presidente Security Brokers
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
L'imminente entrata in vigore della GDPR e la recente evoluzione degli attacchi di tipo ransomware come WannaCry sono due argomenti che destano preoccupazione a tutte le aziende e tolgono il sonno ai responsabili IT. La buona notizia è che possiamo affrontare entrambi con maggiore serenità sfruttando le nuove funzionalità di Netwrix Auditor 9.0, una piattaforma di visibilità e governance che consente di individuare e combattere tempestivamente un'infezione ransomware ed allo stesso tempo permette di adeguarsi alla nuova GDPR nei tempi previsti.
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
La certificazione ISO 27001 del sistema di gestione per la sicurezza delle informazioni come strumento per assicurare la protezione dei dati personali secondo il Regolamento 679/2016 UE
Cos'è un Audit? Come svolgere tale attività secondo la norma UNI 19011:2011 e come eseguire gli audit su Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma internazionale UNI CEI ISO/IEC 27001:2013. La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un SGSI, ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali.
UNINFO - Le nuove norme della famiglia 27000Fabio Guasconi
Panoramica della 27000:2012 e delle nuovissime 27001 e 27002 del 2013 preparata dagli esperti del SC27 italiano di UNINFO che hanno contribuito duramente ai lavori per la loro uscita negli ultimi anni.
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
In occasione del MySQL Day 2018 di Roma il TechAdvisor Michelangelo Uberti ha fornito una panoramica delle contromisure tecnologiche a protezione del dato.
I punti trattati durante la presentazione sono:
- Presentazione dell’offerta Par-Tec dedicata a MySQL Enterprise Edition
- Le misure da adottare per essere compliant al GDPR
- La formazione ed i corsi Par-Tec Educational
- Le tecnologie a difesa del dato
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/il-gdpr-e-le-tecnologie-a-protezione-dei-dati-personali
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
Impianti industriali sotto attacco - come le tecnologie informatiche possono aumentare la sicurezza in ambito produttivo.
Il Sistema di Gestione della Sicurezza delle
Informazioni nei Reparti Produttivi - Standard di sicurezza e norme della famiglia ISO 27000.
Presentazione a cura di ing Fabrizio Di Crosta
Atti del Convegno A.I.G.A. svoltosi a Pordenone il 24 maggio 2012 sul tema "Adempimenti degli studi Legali: privacy, sicurezza e preventivi".
Slides Avvocato Stefano Corsini
Intervento di Melissa Marchese, Studio Legale Gianni, Origoni, Grippo Cappelli & Partners, in occasione del "16°Meeting Nazionale ACEF - Idee senza recinti", 28/10/2016, Sede della Regione Emilia Romagna, Bologna
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
Webinar "Il data breach: suggerimenti pratici per gestire gli incidenti" | 30 giugno 2021
Intervento di Selene Giupponi Council Member Women4Cyber Foundation e
Raoul Chiesa Co-Founder Swascan e Presidente Security Brokers
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
Una macro sintesi del regolamento UE 2016/679 del parlamento europeo e del consiglio datato 27 aprile 2016 e degli spunti di riflessione su come raggiungere la compliance.
Vite d'impresa 2018 - I workshop di CentoCinquanta.
Privacy, come cambia la regolamentazione della materia con il nuovo GDPR
A distanza di circa vent’anni dall’entrata in vigore della prima legge italiana in materia di privacy, il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, denominato GDPR - General Data Protection Regulation. Il Regolamento, direttamente applicabile in tutti gli Stati membri, diventerà pienamente operativo a partire dal 25 maggio 2018.
Esso incide profondamente sulle regole della privacy con conseguenze importanti per imprese, enti pubblici e altri soggetti che debbano gestire, conservare, trasferire o trattare dati personali.
Gli adempimenti non sono pochi e alcuni sono decisamente nuovi: molti di tali adempimenti non sono esattamente definiti ed è lasciato alle imprese e agli enti pubblici l’obbligo di indicare come comportarsi, caso per caso.
Crescono anche le responsabilità in capo alle imprese e ai responsabili aziendali, con sanzioni che possono raggiungere fino a 20 milioni di euro.
L’incontro mira, pertanto, ad illustrare le principali novità introdotte dal GDPR e i relativi obblighi di adeguamento richiesti alle imprese.
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
Similar to 2 fornaro fiera del levante sicurezza gdp r (20)
Il resoconto-racconto del lavoro portato avanti da InnovaPuglia negli anni 2014-2018 insieme ai colleghi dell’amministrazione regionale, con cui si è mantenuto sempre un rapporto di collaborazione e sinergia interorganica.
Cooperation Agreement Puglia Region – OECD “Pilot Action on Strategic Public Procurement” Workshop“ Procurement of Innovation in Puglia” Bari, 16-17 December 2019
Cooperation Agreement Puglia Region – OECD “Pilot Action on Strategic Public Procurement” Workshop “Procurement of Innovation in Puglia” Bari, 16-17 December 2019
Intervento Chris Neely a International Business Forum: le nuove frontiere dell'IT in Puglia" 7 - 8 novembre 2019 - Grand Hotel Masseria Santa Lucia di Ostuni. Chris Neely, Director, Systems Engineering, IBM
Intervento Carlo Mauceli a International Business Forum: le nuove frontiere dell'IT in Puglia" 7 - 8 novembre 2019 - Grand Hotel Masseria Santa Lucia di Ostuni. Carlo Mauceli, National Digital Officer, MICROSOFT
The new frontiers of it in apulia experiences for global security paul dcruz ...Redazione InnovaPuglia
Intervento Paul D’Cruz a International Business Forum: le nuove frontiere dell'IT in Puglia" 7 - 8 novembre 2019 - Grand Hotel Masseria Santa Lucia di Ostuni. Paul D’Cruz, Director, SecOps EMEAR CISCO
Intervento Danilo Caivano a International Business Forum: le nuove frontiere dell'IT in Puglia" 7 - 8 novembre 2019 - Grand Hotel Masseria Santa Lucia di Ostuni. Danilo Caivano, Osservatorio IT, Distretto Produttivo dell’Informatica Pugliese, Dipartimento di Informatica, Università degli studi di Bari
13.00 -
The document discusses the CINI Cybersecurity National Laboratory in Italy. It is one of the National Labs of the Italian Committee for Cybersecurity Research, which is a consortium of 47 Italian universities conducting cybersecurity research. The lab has 53 nodes across universities in Italy, with over 500 researchers. It aims to foster the Italian cybersecurity ecosystem through activities like community building, developing frameworks, and organizing the annual ITASEC conference. It also helps coordinate the national cybersecurity research strategy.
Intervento Francesco Vestito a International Business Forum: le nuove frontiere dell'IT in Puglia" 7 - 8 novembre 2019 - Grand Hotel Masseria Santa Lucia di Ostuni. Francesco Vestito, Generale di Divisione Aerea - Comandante delle Forze da combattimento, già Comandante Interforze per le Operazioni Cibernetiche
Intervento di Crescenzo Antonio Marino, dirigente sezione Ricerca Innovazione e Capacità Istituzionale Regione Puglia, al Mediterranean Forum of Creativity and Social Innovation, Bari 15-16 ottobre 2019
Presentazione del Direttore Divisione IT InnovaPuglia 11 Luglio 2019 | 09:00 - 13:00
Il Cloud regionale: nuove opportunità per gli Enti Locali
Aula Consiliare Consiglio Regionale della Puglia, via Gentile, 52 Bari Puglia Digitale -
1. LE MISURE DI SICUREZZA
NEL REGOLAMENTO EU 679/2016
Autore Lino Fornaro,
Senior Security consultant, Evolumia SRL
Direttivo Clusit
2. Senior Security Consultant
Lead Auditor ISO/IEC 27001:13
OSSTMM PROFESSIONAL SECURITY TESTER - OPST
OSSTMM PROFESSIONAL SECURITY ANALYST - OPSA
ISECOM Certified Trainer
Certificato ICT Security Manager – registro AICQ Sicev
Docente Master sulla Sicurezza (ICS) presso TILS - L’Aquila
Relatore in conferenze di sensibilizzazione sul tema ICT Security
Esperto Normativa Italiana Privacy (DLgs 196/03)
Esperto normative europee Cybersecurity
Membro Comitato Direttivo CLUSIT
Membro Comitato Tecnico Scientifico AICQ Sicev “Uni 11506
Certificazioni informatiche”
Membro sottocommissione SC27 di UNINFO
Socio Fondatore ANORC, Membro Coordinamento ANORC Privacy
$whois Lino Fornaro
3. La sicurezza eletta a “Principio” nel trattamento dei
dati personali
Art. 5 PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI
PERSONALI
1. I dati personali sono:
…....
f) trattati in maniera da garantire un’adeguata sicurezza dei dati
personali, compresa la protezione, mediante misure tecniche e
organizzative adeguate, da trattamenti non autorizzati o illeciti e
dalla perdita, dalla distruzione o dal danno accidentali (“integrità e
riservatezza”)
4. Art.25 Protezione dei Dati sin dalla progettazione
(PRIVACY by Design)
Tenuto conto dello stato dell’arte e dei costi di attuazione, nonché
della natura, dell’ambito di applicazione, del contesto e delle finalità
del trattamento…
..come anche dei rischi aventi probabilità e gravità diverse per i
diritti e le libertà delle persone fisiche costituiti dal trattamento….
..sia al momento di determinare i mezzi del trattamento sia all’atto
del trattamento stesso
Il titolare del trattamento mette in atto misure techiche ed
organizzative adeguate, quali la pseudonimizzazione, volte ad
attuare in modo efficace i principi di protezione dei dati, quali la
minimizzazione, e a integrare nel trattamento le necessarie
garanzie al fine di soddisfare i requisiti del presente regolamento e
tutelare i diritti degli interessati
5. Art.25 … e protezione per impostazione predefinita
(PRIVACY by Default)
Il titolare mette in atto misure tecniche e organizzative
adeguate per garantire che siano trattati, per impostazione
predefinita, solo i dati personali necessari per ogni specifica
finalità di trattamento, …..
Tale obbligo vale per la quantità dei dati personali raccolti, la
portata del trattamento, il periodo di conservazione e l’accessibilità.
... In particolare dette misure garantiscono che, per impostazione
predefinita, non siano resi accessibili dati personali ad un numero
indefinito di persone fisiche senza l’intervento della persona fisica.
Un meccanismo di certificazione approvato ai sensi dell’art.42
può essere utilizzato come elemento per dimostrare la
conformità ai requisiti......
6. PRIVACY by Design
I 7 PRINCIPI
1. Proattivo non reattivo – prevenire non correggere
2. Privacy come impostazione di default
3. Privacy incorporata nella progettazione
4. Massima funzionalità − Valore positivo, non valore zero
5. Sicurezza fino alla fine − Piena protezione del ciclo vitale
6. Visibilità e trasparenza − Mantenere la trasparenza
7. Rispetto per la privacy dell'utente − Centralità dell'utente
7. PRIVACY by Design
OBIETTIVI
L'obiettivo principale è quello di elaborare due concetti:
• La protezione dei dati
• La protezione degli utenti
prestando molta attenzione sull'aspetto della privacy e, successivamente,
su quello dei diritti. L'utente diventa il punto di partenza per sviluppare il
progetto in base alla legge sulla privacy e quindi con un approccio “user
centric”.
8. Pseudonimizzazione ?
Il trattamento di dati personali in modo tale che i dati personali non
possano essere attribuiti a un interessato specifico senza
l’utilizzo di informazioni aggiuntive, a condizione che tali
informazioni aggiuntive siano conservate separatamente e soggette
a misure tecniche e organizzative intese a garantire che tali dati
personali non siano attribuiti a una persona fisica
identificata o identificabile.
ATTENZIONE: DIVERSO DAL DATO ANONIMO
9. La Pseudonimizzazione
E’ una misura tecnica di “privacy by Design” che si pone l’obiettivo
di “allontanare” il dato dalla persona., rendendo complessa la
riferibilità del dato alla persona stessa, senza tuttavia “rompere” il
legame che esiste tra il dato e la persona, come è invece obiettivo
delle tecniche di anonimizzazione.
10. IL RICORSO ALL’ANALISI DEL RISCHIO
Il Regolamento introduce un impianto normativo complessivamente
basato sul rischio, incoraggiando i titolari (e i responsabili) ad adottare
scelte coerenti con rischi misurati in ogni decisione che riguarda il
trattamento dei dati.
Nel GDPR il rischio è un elemento centrale e discriminante
Il rischio è menzionato più di 70 VOLTE nel GDPR!!!
RISKANALISYS
11. IL RICORSO ALL’ANALISI DEL RISCHIO
il GDPR richiede alle organizzazioni di valutare la “probabilità e la
gravità del rischio” delle loro operazioni di trattamento dei dati
personali, ai diritti e alle libertà fondamentali delle persone.
Per le operazioni di trattamento che comportano rischi minori per i
diritti e le libertà fondamentali delle persone possono generalmente
risultare un minor numero di obblighi di conformità, mentre le
operazioni di trattamento “ad alto rischio” aumenteranno gli obblighi di
conformità aggiuntivi, come le valutazioni di impatto sulla protezione
dei dati (concetto di SCALABILITA’)
RISKANALISYS
12. IL RICORSO ALL’ANALISI DEL RISCHIO
La Scalabilità e l'approccio basato sul rischio sono strettamente legate
a meccanismi di incentivazione di responsabilità, richiamati da un altro
principio fondamentale del GDPR
Principio di «accountability» (art. 24)
(responsabilizzazione)
Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle
finalità del trattamento, nonché dei rischi aventi probabilità e gravità
diverse per i diritti e le libertà delle persone fisiche, il titolare del
trattamento mette in atto misure tecniche e organizzative adeguate per
garantire, ed essere in grado di dimostrare, che il trattamento è effettuato
conformemente al presente regolamento. Dette misure sono riesaminate e
aggiornate qualora necessario.
RISKANALISYS
13. I RISCHI PRIVACY
Il considerando (75) contiene un elenco di eventi pregiudizievoli per i diritti
dell’interessato che possono derivare dalle attività di trattamento:
• Discriminazione
• Furto o usurpazione di identità
• Perdite finanziarie
• Pregiudizio alla reputazione
• perdita di riservatezza dei dati personali protetti da segreto professionale
• decifratura non autorizzata della pseudonimizzazione
• qualsiasi altro danno economico o sociale significativo
• Impedimento dell'esercizio del controllo sui dati personali
• valutazione di aspetti personali
• Trattamenti di dati «sensibili», «giudiziari», di minori
RISKANALISYS
14. Alcune considerazioni su Privacy Risk Analysis
Considerando i benefici, in via preliminare.
I benefici devono essere considerati, in via preliminare nella valutazione
del rischio in quanto sono legati alla finalità del trattamento.
I vantaggi e le finalità del trattamento devono essere tenuti in
considerazione al momento di definire le mitigazioni per evitare una
riduzione delle prestazioni non necessarie o di minare degli scopi.
RISKANALISYS
15. Alcune considerazioni su Privacy Risk Analysis
COSA prendere in considerazione per determinare i rischi Privacy:
1. attività di trattamento potenzialmente rischiose che potrebbero
provocare danni
2. le potenziali minacce in qualsiasi trattamento.
3. la probabilità e la gravità di eventuali danni che potrebbero derivare
da trattamenti rischiosi o minacce
RISKANALISYS
16. Alcune considerazioni su Privacy Risk Analysis
Le seguenti attività di trattamento si qualificano come potenzialmente
rischiose che possono provocare danni:
• trattamento dei dati di persone vulnerabili, quali i dati sui minori;
• elaborazione di grandi quantità di dati che interessano un gran
numero di individui;
• impegnarsi in un “nuovo tipo” di trattamento, oppure quando è
trascorso molto tempo da un primo DPIA;
• trattamento automatizzato, inclusa la profilazione, che fornisce una
base per le decisioni con effetto giuridico o un effetto altrettanto
significativo;
RISKANALISYS
17. Alcune considerazioni su Privacy Risk Analysis
Le seguenti attività di trattamento si qualificano come potenzialmente
rischiose che possono provocare danni:
• elaborazione su larga scala di categorie particolari di dati, e dati su
condanne penali e reati;
• trattamento su larga scala e il monitoraggio sistematico delle aree
accessibili al pubblico; e
• uso delle nuove tecnologie.
Questo elenco di trattamenti rischiosi o “trigger rischio” non è esclusivo
e ce ne possono essere altri che le organizzazioni devono prendere in
considerazione di volta in volta in base al contesto
RISKANALISYS
18. Alcune considerazioni su Privacy Risk Analysis
Una valutazione dei rischi dovrebbe prendere in considerazione le
potenziali minacce in qualsiasi trattamento:
• Raccolta ingiustificata o eccessiva di dati;
• l'uso o la conservazione dei dati inesatti o non aggiornati;
• uso improprio o abuso dei dati, tra cui:
a) l'uso dei dati oltre le ragionevoli aspettative degli individui;
b) l'uso insolito di dati oltre le norme societarie, cui ogni individuo
ragionevole in questo contesto potrebbe opporsi; o
c) l'inferenza ingiustificabile o decisioni, da cui l'organizzazione
non può oggettivamente difendersi;
• perdita o furto o distruzione e alterazione dei dati; e
• Accesso ingiustificabile o non autorizzato, il trasferimento, la
condivisione o la pubblicazione di dati.
RISKANALISYS
19. Alcune considerazioni su Privacy Risk Analysis
Infine, le organizzazioni devono valutare la probabilità e la gravità di
eventuali danni che potrebbero derivare da trattamenti rischiosi o
minacce:
a) danno materiale, tangibile, fisico o economico agli individui, come
ad esempio:
• danno fisico;
• perdita della libertà o della libertà di movimento;
• danni alla capacità di guadagno e perdita finanziaria ; e
• altri danni significativi agli interessi economici, ad esempio
derivanti dal furto di identità.
RISKANALISYS
20. Alcune considerazioni su Privacy Risk Analysis
b) danno non materiale, disagio immateriale su individui, quali:
• danno derivante dal monitoraggio o l'esposizione di identità,
caratteristiche, attività, associazioni o opinioni;
• effetto dannoso sulla libertà di parola, di associazione, ecc .;
• danno reputazionale;
• paure personali, familiari, di lavoro o sociale, imbarazzo,
apprensione o ansia;
• intrusione inaccettabile nella vita privata;
• la discriminazione illegale o stigmatizzazione;
• perdita di autonomia;
• decurtazione inadeguato di scelta personale;
• furto d'identità; e
• la privazione di controllo sui dati personali.
RISKANALISYS
21. Art.32 Sicurezza del trattamento
Tenendo conto dello stato dell’arte e dei costi di attuazione,
nonché
• della natura
• dell’oggetto
• del contesto
• delle finalità del trattamento
come anche del rischio di varia probabilità e gravità per i diritti e
le libertà delle persone fisiche
Il titolare del trattamento e il responsabile del trattamento mettono
in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le
altre, se del caso:
RISKANALISYS
22. Art.32 Sicurezza del trattamento
a) La pseudonimizazione e la cifratura dei dati personali;
(utile in caso di data breach)
b) La capacità di assicurare su base permanente la riservatezza,
l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi
di trattamento;
(capacità di adattamento a condizione d’uso e resistenza a
situazioni avverse per garantire disponibilità dei servizi erogati)
a) La capacità di ripristinare tempestivamente la disponibilità e
l’accesso dei dati personali in caso di incidente fisico o tecnico;
(procedure di DR e incident response)
b) Una procedura per testare, verificare e valutare regolarmente
l’efficacia delle misure tecniche e organizzative al fine di
garantire la sicurezza del trattamento
RISKANALISYS,DR,ISO
23. 2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in
special modo dei rischi presentati dal trattamento che derivano in
particolare dalla distruzione, dalla perdita, dalla modifica, dalla
divulgazione non autorizzata o dall’accesso, in modo accidentale o
illegale, a dati personali trasmessi, conservati o comunque trattati.
3. L’adesione ad un codice di condotta approvato di cui all’art.40 o
a un meccanismo di certificazione approvato di cui all’art.42 può
essere utilizzata come elemento per dimostrare la conformità ai
requisiti di cui al paragrafo 1 del presente articolo
Art.32 Sicurezza del trattamento
RISKANALISYS
24. Art.33 Notifica di una violazione dei dati personali
all’autorità di controllo
1. In caso di violazione dei dati personali, il titolare del
trattamento notifica la violazione all’autorità di controllo ….
senza ingiustificato ritardo ...entro 72 ore(*) dal momento in
cui è venuto a conoscenza, a meno che sia improbabile che la
violazione dei dati personali presenti un rischio per i diritti e le
libertà delle persone fisiche (**)
DATABREACH
(*) Misure tecniche
che individuino la
violazione e
notifichino il titolare
(**) ricorso alla cifratura,
a patto che le chiavi
crittografiche siano al
sicuro (e non sui sistemi
violati)
25. La notifica d cui al paragrafo 1 deve almeno:
a) Descrivere la natura della violazione dei dati personali
compresi, ove possibile, le categorie e il numero
approssimativo di interessati in questione nonché le categorie e
il numero approssimativo di registrazioni di dati personali in
questione;
b) Comunicare il nome e i dati di contatto del responsabile della
protezione dei dati o di altro punto di contatto presso cui
ottenere informazioni;
DATABREACH
Art.33 Notifica di una violazione dei dati personali
all’autorità di controllo
26. La notifica di cui al paragrafo 1 deve almeno:
c) Descrivere le probabili conseguenze della violazione (*) dei dati
personali
d) Descrivere le misure adottate o di cui si propone l’adozione da
parte del titolare per porre rimedio alla violazione dei dati personali
e anche, se del caso, per attenuare i possibili effetti negativi (**)
(*) la Risk Analisys
dovrebbe aver contemplato
e misurato questo rischio e
determinato le misure
preventive
(**) un piano di Risposta
agli incidenti e una
strategia di gestione della
crisi sono fortemente
consigliate
DATABREACH
Art.33 Notifica di una violazione dei dati personali
all’autorità di controllo
27. 1. Quando la violazione di dati personali è suscettibile di
presentare un rischio elevato per i diritti e le libertà delle
persona fisiche, il titolare del trattamento comunica la
violazione all’interessato senza ingiustificato ritardo
2. La comunicazione all’interessato …. descrive con un
linguaggio semplice e chiaro la natura della violazione dei dati
personali e contiene almeno le informazioni e le
raccomandazioni di cui all’art.33, par.3 lettere b) c) e d).
DATABREACH
Art.34 COMUNICAZIONE di una violazione dei dati
personali ALL’INTERESSATO
28. a) 3. Non è richiesta la comunicazione all’interessato… se è
soddisfatta una delle seguenti condizioni:
b) Il titolare ha messo in atto le misure tecniche e organizzative
adeguate di protezione e tali misure erano state applicate ai dati
personali oggetto della violazione, in particolare quelle destinate
a rendere i dati personali incomprensibili a chiunque non sia
autorizzato ad accedervi, quali la cifratura.
DATABREACH
Art.34 COMUNICAZIONE di una violazione dei dati
personali ALL’INTERESSATO
29. b) Il titolare del trattamento ha successivamente adottato misure
atte a scongiurare il sopraggiungere di un rischio elevato per i
diritti e le libertà degli interessatindi cui al par.1
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal
caso, si procede invece a una comunicazione pubblica o a una
misura simile, tramite la quale gli interessati sono informati con
analoga efficacia.
Una strategia di
comunicazione che tuteli
l’immagine e che preservi il
business aziendale è
necessaria
DATABREACH
Art.34 COMUNICAZIONE di una violazione dei dati
personali ALL’INTERESSATO
30. Danni fisici, materiali, morali
Perdita del controllo dei dati
Discriminazione
Furto o usurpazione d'identità
Decifratura non autorizzata della pseudonimizzazione
Pregiudizio alla reputazione
Perdita di riservatezza dei dati protetti da segreto professionale
Perdite finanziarie
Etc.
DATABREACH
Art.34 COMUNICAZIONE di una violazione dei dati
personali ALL’INTERESSATO
31. Paragrafo 1
Quando un tipo di trattamento, allorché prevede in particolare l’uso
di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le
finalità del trattamento, può presentare un rischio elevato per i
diritti e le libertà delle persone fisiche, il titolare del
trattamento effettua, prima di procedere al trattamento, una
valutazione dell’impatto dei trattamenti previsti sulla
protezione dei dati personali. Una singola valutazione può
esaminare un insieme di trattamenti simili che presentano rischi
elevati analoghi.
Art.35 Valutazione d’impatto sulla protezione
dei dati
32. Il Titolare del trattamento, allorquando svolge una valutazione d’impatto
sulla protezione dei dati, si consulta con il responsabile della protezione
dei dati, qualora ne sia designato uno
Art.35 Valutazione d’impatto sulla protezione dei dati
33. GRAZIE per l’attenzione
Lino Fornaro, Evolumia srl
Senior Security Consultant e
Privacy Advisor
l.fornaro@evolumia.it