SlideShare a Scribd company logo

Bird&bird smau 2017

Marco Turolla
Marco Turolla

Cybersecurity e comportamenti pericolosi: come mettere i dati al riparo. 1) Introduzione al nuovo Regolamento Europeo per la Protezione dei Dati Personali ("GDPR") 2) Misure di sicurezza 3) Responsabile per la protezione dei dati personal: il Data Protection Officer)

Data & Analytics
1 of 16
Download to read offline
Cybersecurity e comportamenti pericolosi: come mettere i dati al riparo Avv. Gian Marco Rinaldi 24 ottobre 2017
Argomenti trattati 1) Introduzione al nuovo Regolamento Europeo per la Protezione dei Dati Personali ("GDPR") 2) Misure di sicurezza 3) Responsabile per la protezione dei dati personali (Data Protection Officer – DPO)
Il nuovo Regolamento europeo 679/2016 Nuova normativa europea Il● GDPR disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché la libera circolazione di tali dati ● Entrato in vigore dal 25 maggio 2016, sarà direttamente applicabile in tutti gli Stati Membri a partire dal 25 maggio 2018 Abroga● la Direttiva 95/46/CE e leggi nazionali che implementano tale direttiva (e.g. Codice Privacy)
Il nuovo Regolamento europeo 679/2016 Art. 32 – Sicurezza del trattamento "…il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Misure di sicurezza
Il nuovo Regolamento europeo 679/2016 TO DO  Analisi dei rischi  Valutazione delle misure tecniche (IT) e organizzative (es. procedure, policy) adeguate ai rischi presentati dal trattamento che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati  Verifica dello stato dell’arte, dei costi, della natura, finalità e contesto di trattamento etc. Misure di sicurezza
Il nuovo Regolamento europeo 679/2016 In caso di violazione dei dati… Titolare del trattamento Notifica della violazione alle autorità competenti entro 72 ore Comunicazione (senza ingiustificato ritardo) all’interessato in caso di possibili rischi per lo stesso Responsabile
Il nuovo Regolamento europeo 679/2016 Art. 33 “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”. Notifica di una violazione dei dati personali all’autorità di controllo
Il nuovo Regolamento europeo 679/2016 “…Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo”. Più in generale, il GDPR introduce il concetto di accountability, ossia di attribuzione di responsabilità a tutti i soggetti che collaborano alla gestione dei dati personali, per cui ogni operazione di gestione e trattamento deve essere registrata, documentata e deve risultare tracciabile (sul modello della “scatola nera”) Notifica di una violazione dei dati personali all’autorità di controllo
Il nuovo Regolamento europeo 679/2016 Qualora vi sia un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. Tale comunicazione non è dovuta quando: ✓ le misure di protezione applicate ai dati oggetto di violazione risultavano adeguate e in particolare erano tali da rendere detti dati incomprensibili ai non autorizzati (i.e. cifratura); ✓ misure atte a scongiurare detti rischi sono state adottate successivamente; ✓ la comunicazione richiederebbe sforzi sproporzionati (potrebbe essere sufficiente una comunicazione pubblica) Comunicazione di una violazione dei dati personali all’interessato
Il nuovo Regolamento europeo 679/2016 Art. 35 “Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali ”. Valutazione d'impatto sulla protezione dei dati e consultazione preventiva
Il nuovo Regolamento europeo 679/2016 Approccio basato sulla valutazione dei rischi e l’adozione di policy proporzionate alle finalità del trattamento e alla tipologia di dati trattati. Il titolare ed il responsabile devono adottare misure tecniche ed organizzative volte ad assicurare un livello di sicurezza adeguato ai rischi, tenuto conto: dello✓ stato dell’arte e costi di realizzazione; della✓ natura, contesto, oggetto e finalità del trattamento; dei✓ rischi per i diritti e la libertà delle persone fisiche e la loro probabilità e gravità. Valutazione d'impatto sulla protezione dei dati e consultazione preventiva
Il nuovo Regolamento europeo 679/2016 Il DPO è tenuto a: ✓ possedere un'adeguata conoscenza della normativa sulla protezione dei dati ed essere un supporto strategico per l’attività del titolare ✓ adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse ✓ non divulgare alcuna informazione relativa all’adempimento dei propri compiti ✓ operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (DPO esterno) => il titolare o il responsabile dovranno mettergli a disposizione le risorse necessarie per assolvere ai suoi compiti e mantenere la propria conoscenza specialistica La figura del Responsabile per la protezione dei dati (Data Privacy Officer - DPO)
Il nuovo Regolamento europeo 679/2016 Nomina DPO Autorità o organismi pubblici (alcune eccezioni) Titolari e Responsabili le cui attività principali di trattamento richiedano: Monitoraggio sistematico e regolare degli individui ‘su larga scala’ Trattamenti di categorie particolari di dati su ‘larga scala’ e Possibile la nomina facoltativa fuori dalle ipotesi obbligatorie
Il nuovo Regolamento europeo 679/2016 Compiti principali del DPO DPO Consulenza …informare e consigliare (i) il titolare/responsabile del trattamento (ii) i dipendenti che eseguono il trattamento dei dati personali, in merito agli obblighi derivanti dal regolamento Controllo …verificare (i) l'attuazione e l'applicazione delle norme privacy, (ii) le policy interne, l'attribuzione delle responsabilità, la formazione del personale e gli audit Verifica …fornire pareri in relazione al DPIA e sorvegliarne lo svolgimento Cooperazione …con le autorità di controllo Referente …agire quale punto di contatto con le autorità su tutte le questioni relative al trattamento dei dati
Il nuovo Regolamento europeo 679/2016 Minacce Attacchi esterni Problemi tecnici Pericoli interni • Accesso ai dati inibito • Difetti operativi • Perdita di dati Accessi non autorizzati da• parte di dipendenti Mancanza di training del• personale Acquisizione indebita• Modifica dei dati• • Acquisizione di dati • Spionaggio/furto • Modifica dei dati
Thank you Avv. Gian Marco Rinaldi gianmarco.rinaldi@twobirds.com

Recommended

Presentazione gmr smau 2017
Presentazione gmr smau 2017Presentazione gmr smau 2017
Presentazione gmr smau 2017mobi-TECH
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Marco Turolla
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Domenico Vozza
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliAndrea Maggipinto [+1k]
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 

Recommended

Presentazione gmr smau 2017
Presentazione gmr smau 2017Presentazione gmr smau 2017
Presentazione gmr smau 2017mobi-TECH
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Marco Turolla
 
Privacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliPrivacy e Trattamento dei Dati Personali
Privacy e Trattamento dei Dati PersonaliGiacomo Giovanelli
 
Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Domenico Vozza
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Andrea Ballandino
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoM2 Informatica
 
GDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliGDPR: scenari attuali e futuribili
GDPR: scenari attuali e futuribiliAndrea Maggipinto [+1k]
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Adriano Bertolino
 
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018Simone Chiarelli
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...Mauro Alovisio
 
GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018Simone Chiarelli
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Porto4CulturaLegaled
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Andrea Maggipinto [+1k]
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legaliRoberta Rapicavoli
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017SMAU
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018Simone Chiarelli
 
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...Andrea Maggipinto [+1k]
 
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Mauro Alovisio
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Barbieri & Associati Dottori Commercialisti - Bologna
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018mobi-TECH
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
Smau data breach v1
Smau data breach v1Smau data breach v1
Smau data breach v1Mauro Alovisio
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2SMAU
 
Smau seminario data breach prima parte
Smau seminario data breach prima parte Smau seminario data breach prima parte
Smau seminario data breach prima parte Mauro Alovisio
 

More Related Content

What's hot

Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyM2 Informatica
 
GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018Simone Chiarelli
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018M2 Informatica
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003jamboo
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informaticaM2 Informatica
 
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...Mauro Alovisio
 
GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018Simone Chiarelli
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Andrea Maggipinto [+1k]
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Digital Law Communication
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017SMAU
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018Simone Chiarelli
 
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...Andrea Maggipinto [+1k]
 
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Mauro Alovisio
 

What's hot (17)

Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacyNuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
Nuovo Regolamento Privacy Europeo: la genesi normativa sulla privacy
 
GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018GDPR: informativa e consenso - 17 luglio 2018
GDPR: informativa e consenso - 17 luglio 2018
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
D.Lgs 196/2003
D.Lgs 196/2003D.Lgs 196/2003
D.Lgs 196/2003
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
 
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
Seminario privacy Alovisio 6 dicembre impatto regolamento europeo su studi...
 
GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018GDPR: principi - 21 maggio 2018
GDPR: principi - 21 maggio 2018
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
 
Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017Franco Cardin - SMAU Padova 2017
Franco Cardin - SMAU Padova 2017
 
GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018GDPR e regolamento europeo - 9 luglio 2018
GDPR e regolamento europeo - 9 luglio 2018
 
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
 
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
Smau 2016 seminario privacy: Data Protection Officer, seminario alovisio go...
 
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
Il Regolamento europeo sulla protezione dei dati personali - Le principali no...
 

Similar to Bird&bird smau 2017

Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018mobi-TECH
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2SMAU
 
Smau seminario data breach prima parte
Smau seminario data breach prima parte Smau seminario data breach prima parte
Smau seminario data breach prima parte Mauro Alovisio
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018Simone Chiarelli
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRTalea Consulting Srl
 
GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018Simone Chiarelli
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018Simone Chiarelli
 
Convegno GDPR. La nuova disciplina sul data breach.
Convegno GDPR. La nuova disciplina sul data breach. Convegno GDPR. La nuova disciplina sul data breach.
Convegno GDPR. La nuova disciplina sul data breach. Avv. Emiliano Vitelli
 
GDPR Enti Comunali
GDPR Enti Comunali GDPR Enti Comunali
GDPR Enti Comunali Manuel Salvi
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
 
Il dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziIl dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziEurosystem S.p.A.
 
Seminario Privacy BMT Napoli Marzo 2018
Seminario Privacy BMT Napoli Marzo 2018Seminario Privacy BMT Napoli Marzo 2018
Seminario Privacy BMT Napoli Marzo 2018Caterina Claudi
 
Smau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSmau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSMAU
 
Smau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection OfficerSmau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection OfficerSMAU
 

Similar to Bird&bird smau 2017 (20)

Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
 
Smau data breach v1
Smau data breach v1Smau data breach v1
Smau data breach v1
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2
 
Smau seminario data breach prima parte
Smau seminario data breach prima parte Smau seminario data breach prima parte
Smau seminario data breach prima parte
 
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
Franco Cardin_Il modello di governance digitali: la PA incontra il mercato _
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
 
Convegno GDPR. La nuova disciplina sul data breach.
Convegno GDPR. La nuova disciplina sul data breach. Convegno GDPR. La nuova disciplina sul data breach.
Convegno GDPR. La nuova disciplina sul data breach.
 
GDPR Enti Comunali
GDPR Enti Comunali GDPR Enti Comunali
GDPR Enti Comunali
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...
 
Il dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest ServiziIl dato è tratto - Eurosystem e Nordest Servizi
Il dato è tratto - Eurosystem e Nordest Servizi
 
Seminario Privacy BMT Napoli Marzo 2018
Seminario Privacy BMT Napoli Marzo 2018Seminario Privacy BMT Napoli Marzo 2018
Seminario Privacy BMT Napoli Marzo 2018
 
Smau milano 2013 valentina frediani
Smau milano 2013 valentina fredianiSmau milano 2013 valentina frediani
Smau milano 2013 valentina frediani
 
Smau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection OfficerSmau Milano 2016 CSIG - Data Protection Officer
Smau Milano 2016 CSIG - Data Protection Officer
 

More from Marco Turolla

Intelligenza Artificiale nel mondo reale
Intelligenza Artificiale nel mondo realeIntelligenza Artificiale nel mondo reale
Intelligenza Artificiale nel mondo realeMarco Turolla
 
Ai trends 4 (next choice machines) 2
Ai trends 4 (next choice machines) 2Ai trends 4 (next choice machines) 2
Ai trends 4 (next choice machines) 2Marco Turolla
 
Realtà Virtuale: il punto di vista del professor Ernesto Hofmann
Realtà Virtuale: il punto di vista del professor Ernesto HofmannRealtà Virtuale: il punto di vista del professor Ernesto Hofmann
Realtà Virtuale: il punto di vista del professor Ernesto HofmannMarco Turolla
 
Professor Ernesto Hofmann - Blockchain
Professor Ernesto Hofmann - BlockchainProfessor Ernesto Hofmann - Blockchain
Professor Ernesto Hofmann - BlockchainMarco Turolla
 
I clouseau focusinformatica @smau 2017
I clouseau focusinformatica @smau 2017I clouseau focusinformatica @smau 2017
I clouseau focusinformatica @smau 2017Marco Turolla
 
Project management: un must per imprese e professionisti
Project management: un must per imprese e professionistiProject management: un must per imprese e professionisti
Project management: un must per imprese e professionistiMarco Turolla
 

More from Marco Turolla (6)

Intelligenza Artificiale nel mondo reale
Intelligenza Artificiale nel mondo realeIntelligenza Artificiale nel mondo reale
Intelligenza Artificiale nel mondo reale
 
Ai trends 4 (next choice machines) 2
Ai trends 4 (next choice machines) 2Ai trends 4 (next choice machines) 2
Ai trends 4 (next choice machines) 2
 
Realtà Virtuale: il punto di vista del professor Ernesto Hofmann
Realtà Virtuale: il punto di vista del professor Ernesto HofmannRealtà Virtuale: il punto di vista del professor Ernesto Hofmann
Realtà Virtuale: il punto di vista del professor Ernesto Hofmann
 
Professor Ernesto Hofmann - Blockchain
Professor Ernesto Hofmann - BlockchainProfessor Ernesto Hofmann - Blockchain
Professor Ernesto Hofmann - Blockchain
 
I clouseau focusinformatica @smau 2017
I clouseau focusinformatica @smau 2017I clouseau focusinformatica @smau 2017
I clouseau focusinformatica @smau 2017
 
Project management: un must per imprese e professionisti
Project management: un must per imprese e professionistiProject management: un must per imprese e professionisti
Project management: un must per imprese e professionisti
 

Bird&bird smau 2017

  • 1. Cybersecurity e comportamenti pericolosi: come mettere i dati al riparo Avv. Gian Marco Rinaldi 24 ottobre 2017
  • 2. Argomenti trattati 1) Introduzione al nuovo Regolamento Europeo per la Protezione dei Dati Personali ("GDPR") 2) Misure di sicurezza 3) Responsabile per la protezione dei dati personali (Data Protection Officer – DPO)
  • 3. Il nuovo Regolamento europeo 679/2016 Nuova normativa europea Il● GDPR disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché la libera circolazione di tali dati ● Entrato in vigore dal 25 maggio 2016, sarà direttamente applicabile in tutti gli Stati Membri a partire dal 25 maggio 2018 Abroga● la Direttiva 95/46/CE e leggi nazionali che implementano tale direttiva (e.g. Codice Privacy)
  • 4. Il nuovo Regolamento europeo 679/2016 Art. 32 – Sicurezza del trattamento "…il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Misure di sicurezza
  • 5. Il nuovo Regolamento europeo 679/2016 TO DO  Analisi dei rischi  Valutazione delle misure tecniche (IT) e organizzative (es. procedure, policy) adeguate ai rischi presentati dal trattamento che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati  Verifica dello stato dell’arte, dei costi, della natura, finalità e contesto di trattamento etc. Misure di sicurezza
  • 6. Il nuovo Regolamento europeo 679/2016 In caso di violazione dei dati… Titolare del trattamento Notifica della violazione alle autorità competenti entro 72 ore Comunicazione (senza ingiustificato ritardo) all’interessato in caso di possibili rischi per lo stesso Responsabile
  • 7. Il nuovo Regolamento europeo 679/2016 Art. 33 “In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo”. Notifica di una violazione dei dati personali all’autorità di controllo
  • 8. Il nuovo Regolamento europeo 679/2016 “…Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo”. Più in generale, il GDPR introduce il concetto di accountability, ossia di attribuzione di responsabilità a tutti i soggetti che collaborano alla gestione dei dati personali, per cui ogni operazione di gestione e trattamento deve essere registrata, documentata e deve risultare tracciabile (sul modello della “scatola nera”) Notifica di una violazione dei dati personali all’autorità di controllo
  • 9. Il nuovo Regolamento europeo 679/2016 Qualora vi sia un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. Tale comunicazione non è dovuta quando: ✓ le misure di protezione applicate ai dati oggetto di violazione risultavano adeguate e in particolare erano tali da rendere detti dati incomprensibili ai non autorizzati (i.e. cifratura); ✓ misure atte a scongiurare detti rischi sono state adottate successivamente; ✓ la comunicazione richiederebbe sforzi sproporzionati (potrebbe essere sufficiente una comunicazione pubblica) Comunicazione di una violazione dei dati personali all’interessato
  • 10. Il nuovo Regolamento europeo 679/2016 Art. 35 “Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali ”. Valutazione d'impatto sulla protezione dei dati e consultazione preventiva
  • 11. Il nuovo Regolamento europeo 679/2016 Approccio basato sulla valutazione dei rischi e l’adozione di policy proporzionate alle finalità del trattamento e alla tipologia di dati trattati. Il titolare ed il responsabile devono adottare misure tecniche ed organizzative volte ad assicurare un livello di sicurezza adeguato ai rischi, tenuto conto: dello✓ stato dell’arte e costi di realizzazione; della✓ natura, contesto, oggetto e finalità del trattamento; dei✓ rischi per i diritti e la libertà delle persone fisiche e la loro probabilità e gravità. Valutazione d'impatto sulla protezione dei dati e consultazione preventiva
  • 12. Il nuovo Regolamento europeo 679/2016 Il DPO è tenuto a: ✓ possedere un'adeguata conoscenza della normativa sulla protezione dei dati ed essere un supporto strategico per l’attività del titolare ✓ adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse ✓ non divulgare alcuna informazione relativa all’adempimento dei propri compiti ✓ operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (DPO esterno) => il titolare o il responsabile dovranno mettergli a disposizione le risorse necessarie per assolvere ai suoi compiti e mantenere la propria conoscenza specialistica La figura del Responsabile per la protezione dei dati (Data Privacy Officer - DPO)
  • 13. Il nuovo Regolamento europeo 679/2016 Nomina DPO Autorità o organismi pubblici (alcune eccezioni) Titolari e Responsabili le cui attività principali di trattamento richiedano: Monitoraggio sistematico e regolare degli individui ‘su larga scala’ Trattamenti di categorie particolari di dati su ‘larga scala’ e Possibile la nomina facoltativa fuori dalle ipotesi obbligatorie
  • 14. Il nuovo Regolamento europeo 679/2016 Compiti principali del DPO DPO Consulenza …informare e consigliare (i) il titolare/responsabile del trattamento (ii) i dipendenti che eseguono il trattamento dei dati personali, in merito agli obblighi derivanti dal regolamento Controllo …verificare (i) l'attuazione e l'applicazione delle norme privacy, (ii) le policy interne, l'attribuzione delle responsabilità, la formazione del personale e gli audit Verifica …fornire pareri in relazione al DPIA e sorvegliarne lo svolgimento Cooperazione …con le autorità di controllo Referente …agire quale punto di contatto con le autorità su tutte le questioni relative al trattamento dei dati
  • 15. Il nuovo Regolamento europeo 679/2016 Minacce Attacchi esterni Problemi tecnici Pericoli interni • Accesso ai dati inibito • Difetti operativi • Perdita di dati Accessi non autorizzati da• parte di dipendenti Mancanza di training del• personale Acquisizione indebita• Modifica dei dati• • Acquisizione di dati • Spionaggio/furto • Modifica dei dati
  • 16. Thank you Avv. Gian Marco Rinaldi gianmarco.rinaldi@twobirds.com