Vite d'impresa 2018 - I workshop di CentoCinquanta.
Privacy, come cambia la regolamentazione della materia con il nuovo GDPR
A distanza di circa vent’anni dall’entrata in vigore della prima legge italiana in materia di privacy, il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, denominato GDPR - General Data Protection Regulation. Il Regolamento, direttamente applicabile in tutti gli Stati membri, diventerà pienamente operativo a partire dal 25 maggio 2018.
Esso incide profondamente sulle regole della privacy con conseguenze importanti per imprese, enti pubblici e altri soggetti che debbano gestire, conservare, trasferire o trattare dati personali.
Gli adempimenti non sono pochi e alcuni sono decisamente nuovi: molti di tali adempimenti non sono esattamente definiti ed è lasciato alle imprese e agli enti pubblici l’obbligo di indicare come comportarsi, caso per caso.
Crescono anche le responsabilità in capo alle imprese e ai responsabili aziendali, con sanzioni che possono raggiungere fino a 20 milioni di euro.
L’incontro mira, pertanto, ad illustrare le principali novità introdotte dal GDPR e i relativi obblighi di adeguamento richiesti alle imprese.
L'avvento del GDPR nel Maggio del 2018 ci consente di fare una serie di riflessioni riguardo ai nostri database e ai dati in essi contenuti. Come dobbiamo prepararci?
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
L'imminente entrata in vigore della GDPR e la recente evoluzione degli attacchi di tipo ransomware come WannaCry sono due argomenti che destano preoccupazione a tutte le aziende e tolgono il sonno ai responsabili IT. La buona notizia è che possiamo affrontare entrambi con maggiore serenità sfruttando le nuove funzionalità di Netwrix Auditor 9.0, una piattaforma di visibilità e governance che consente di individuare e combattere tempestivamente un'infezione ransomware ed allo stesso tempo permette di adeguarsi alla nuova GDPR nei tempi previsti.
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
In occasione del MySQL Day 2018 di Roma il TechAdvisor Michelangelo Uberti ha fornito una panoramica delle contromisure tecnologiche a protezione del dato.
I punti trattati durante la presentazione sono:
- Presentazione dell’offerta Par-Tec dedicata a MySQL Enterprise Edition
- Le misure da adottare per essere compliant al GDPR
- La formazione ed i corsi Par-Tec Educational
- Le tecnologie a difesa del dato
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/il-gdpr-e-le-tecnologie-a-protezione-dei-dati-personali
L'avvento del GDPR nel Maggio del 2018 ci consente di fare una serie di riflessioni riguardo ai nostri database e ai dati in essi contenuti. Come dobbiamo prepararci?
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
L'imminente entrata in vigore della GDPR e la recente evoluzione degli attacchi di tipo ransomware come WannaCry sono due argomenti che destano preoccupazione a tutte le aziende e tolgono il sonno ai responsabili IT. La buona notizia è che possiamo affrontare entrambi con maggiore serenità sfruttando le nuove funzionalità di Netwrix Auditor 9.0, una piattaforma di visibilità e governance che consente di individuare e combattere tempestivamente un'infezione ransomware ed allo stesso tempo permette di adeguarsi alla nuova GDPR nei tempi previsti.
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
In occasione del MySQL Day 2018 di Roma il TechAdvisor Michelangelo Uberti ha fornito una panoramica delle contromisure tecnologiche a protezione del dato.
I punti trattati durante la presentazione sono:
- Presentazione dell’offerta Par-Tec dedicata a MySQL Enterprise Edition
- Le misure da adottare per essere compliant al GDPR
- La formazione ed i corsi Par-Tec Educational
- Le tecnologie a difesa del dato
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/il-gdpr-e-le-tecnologie-a-protezione-dei-dati-personali
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
I controlli sui dipendenti durante l'emergenza covid-19 Giulio Coraggio
Con l’inizio della fase 2 dell’emergenza COVID-19, l’attività nelle aziende italiane sta riprendendo e le statistiche sul numero di contagi stanno fornendo dati confortanti. Le imprese, tuttavia, avvertono l’esigenza di ridurre al minimo i rischi poiché un mancato controllo potrebbe ulteriormente danneggiare una situazione economica già difficile dopo gli ultimi mesi di lockdown.
Il protocollo condiviso del 24 aprile 2020 ha dato delle indicazioni sulle misure che possono essere adottate e il Garante per la protezione dei dati personali ha anche fornito indicazioni con le sue FAQ. Non ci sono state però indicazioni chiare riguardo a quali test, informazioni e tecnologie possano essere usate per limitare il rischio di contagio.
Allo stesso tempo, la presenza di un accordo sindacale non può essere di per se sufficiente per consentire misure che potrebbero essere in contrasto con disposizioni di legge. Alcune aziende stanno analizzando il problema da un punto di vista unicamente giuslavoristico, mentre altre solo in relazione alle implicazioni relative alla normativa privacy. Questi approcci purtroppo a volte non consentono un’analisi completa delle problematiche, lasciando aperti possibili “gap” che potrebbero essere oggetto di contestazione.
In questa presentazione, DLA Piper si propone di accompagnare le aziende verso la ripresa, gli esperti di diritto del lavoro e di privacy e nuove tecnologie dello studio cercheranno di colmare questo “gap” analizzando – con un approccio in stile “storytelling” – i vari scenari che si possono prospettare, identificando le relative problematiche e suggerendo le azioni da adottare per minimizzare il rischio di contestazione.
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaGiulio Coraggio
Non c'è mai stato un momento storico così rilevante in cui i dati sono stati così importanti. L'emergenza dovuta al coronavirus pone le aziende di fronte a nuove problematiche privacy che a volte sono state e potrebbero essere gestire secondo modalità non corrette. Ne parlano Giulio Coraggio e Christian Bernieri in questo webinar organizzato dal KnowLedgeNet italiano dello IAPP, l'International Association of Privacy Professionals.
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
In questo privacy meet-up dello IAPP - International Association of Privacy Professionals, sono state analizzate le recenti decisioni del Garante privacy in materia di telemarketing e le linee guida dello European Data Protection Board sul trattamento dei dati personali sui social media
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCGiulio Coraggio
In questa presentazione abbiamo analizzato l'impatto delle nuove clausole contrattuali standard (SCCs) sui trasferimenti dei dati al di fuori dello SEE, delle raccomandazioni del EDPB sui trasferimenti dei dati e di come eseguire un transfer impact assessment alla luce della sentenza Schrems II grazie ai professionisti esperti di privacy dello studio legale DLA Piper
Come gestire un data breach da attacco ransomwareGiulio Coraggio
In questo webinar, gli Avv.ti Giulio Coraggio, Cristina Criscuoli e Giulia Zappaterra dello studio legale DLA Piper hanno discusso di come gestire un attacco ransomware e di quali possono essere le conseguenze di una gestione inadeguata di simili incidenti.
Il webinar si è concentrato inoltre sull’importanza di adottare una politica efficace in materia di sicurezza informatica e sulle possibili misure da implementare al fine di prevenire il verificarsi di simili attacchi e mitigarne sensibilmente gli effetti ove dovessero avverarsi.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
Il 25 maggio entrerà in vigore la nuova normativa europea chiamata General Data Protection Regulation, che sostituirà tutte le regolamentazioni attualmente in vigore nei diversi Paesi della EU. Il GDPR permetterà una standardizzazione e un'armonizzazione di tutte le leggi a tutela dei dati dei singoli cittadini che vengono trattati ogni giorno dai Brand. In cosa consiste e come farsi trovare preparati?
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
I controlli sui dipendenti durante l'emergenza covid-19 Giulio Coraggio
Con l’inizio della fase 2 dell’emergenza COVID-19, l’attività nelle aziende italiane sta riprendendo e le statistiche sul numero di contagi stanno fornendo dati confortanti. Le imprese, tuttavia, avvertono l’esigenza di ridurre al minimo i rischi poiché un mancato controllo potrebbe ulteriormente danneggiare una situazione economica già difficile dopo gli ultimi mesi di lockdown.
Il protocollo condiviso del 24 aprile 2020 ha dato delle indicazioni sulle misure che possono essere adottate e il Garante per la protezione dei dati personali ha anche fornito indicazioni con le sue FAQ. Non ci sono state però indicazioni chiare riguardo a quali test, informazioni e tecnologie possano essere usate per limitare il rischio di contagio.
Allo stesso tempo, la presenza di un accordo sindacale non può essere di per se sufficiente per consentire misure che potrebbero essere in contrasto con disposizioni di legge. Alcune aziende stanno analizzando il problema da un punto di vista unicamente giuslavoristico, mentre altre solo in relazione alle implicazioni relative alla normativa privacy. Questi approcci purtroppo a volte non consentono un’analisi completa delle problematiche, lasciando aperti possibili “gap” che potrebbero essere oggetto di contestazione.
In questa presentazione, DLA Piper si propone di accompagnare le aziende verso la ripresa, gli esperti di diritto del lavoro e di privacy e nuove tecnologie dello studio cercheranno di colmare questo “gap” analizzando – con un approccio in stile “storytelling” – i vari scenari che si possono prospettare, identificando le relative problematiche e suggerendo le azioni da adottare per minimizzare il rischio di contestazione.
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaGiulio Coraggio
Non c'è mai stato un momento storico così rilevante in cui i dati sono stati così importanti. L'emergenza dovuta al coronavirus pone le aziende di fronte a nuove problematiche privacy che a volte sono state e potrebbero essere gestire secondo modalità non corrette. Ne parlano Giulio Coraggio e Christian Bernieri in questo webinar organizzato dal KnowLedgeNet italiano dello IAPP, l'International Association of Privacy Professionals.
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
In questo privacy meet-up dello IAPP - International Association of Privacy Professionals, sono state analizzate le recenti decisioni del Garante privacy in materia di telemarketing e le linee guida dello European Data Protection Board sul trattamento dei dati personali sui social media
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCGiulio Coraggio
In questa presentazione abbiamo analizzato l'impatto delle nuove clausole contrattuali standard (SCCs) sui trasferimenti dei dati al di fuori dello SEE, delle raccomandazioni del EDPB sui trasferimenti dei dati e di come eseguire un transfer impact assessment alla luce della sentenza Schrems II grazie ai professionisti esperti di privacy dello studio legale DLA Piper
Come gestire un data breach da attacco ransomwareGiulio Coraggio
In questo webinar, gli Avv.ti Giulio Coraggio, Cristina Criscuoli e Giulia Zappaterra dello studio legale DLA Piper hanno discusso di come gestire un attacco ransomware e di quali possono essere le conseguenze di una gestione inadeguata di simili incidenti.
Il webinar si è concentrato inoltre sull’importanza di adottare una politica efficace in materia di sicurezza informatica e sulle possibili misure da implementare al fine di prevenire il verificarsi di simili attacchi e mitigarne sensibilmente gli effetti ove dovessero avverarsi.
Introduzione al GDPR, General Data Protection Regulation.Purple Network
Il 25 maggio entrerà in vigore la nuova normativa europea chiamata General Data Protection Regulation, che sostituirà tutte le regolamentazioni attualmente in vigore nei diversi Paesi della EU. Il GDPR permetterà una standardizzazione e un'armonizzazione di tutte le leggi a tutela dei dati dei singoli cittadini che vengono trattati ogni giorno dai Brand. In cosa consiste e come farsi trovare preparati?
"GDPR: cos'è e come funziona" by Francesco PuglisiThinkOpen
07/06/2018
Introduzione al nuovo Regolamento sulla protezione dei dati personali (GDPR) entrato in vigore il 25 maggio 2018.
Sono state analizzate tutte le novità introdotte e le conseguenti responsabilità che esse comportano per le aziende che fanno quotidianamente raccolta dati.
Conoscere le regole per giocare all'attacco: la componente legal nei business...GELLIFY
Durante l’Explore Talks sul tema “Data-Driven Business” organizzato da GELLIFY e che si è svolto il 14 giugno 2018 presso Spaces Milano è intervenuto Federico Dettori - Avvocato e Partner di Gianni - Origoni - Grippo - Cappelli - Partners (Studio GOP) con una presentazione dal titolo "Conoscere le regole per giocare all'attacco: la componente legal nei business data-driven".
I dati sono la moneta di scambio dell’epoca nella quale stiamo vivendo. Come raccoglierli, difenderli, valorizzarli e, quindi, trasformarli nell'asset principale della propria startup?
In questo contesto lo studio legale diventa partner di business delle imprese che fanno dell’innovazione la propria arma vincente.
NetApp Webinar: 100 Days to GDPR: La guida pratica di NetAppNetApp
A partire dal 25 maggio 2018 le aziende dovranno essere compliant alla normativa GDPR . in questo webinar Insieme a Varonis abbiamo fatto il punto sulla roadmap per la compliance.
Security Logic nasce dalla fusione di circa 30 anni di esperienza e passione del suo management nei settori delle tecnologie informatiche e delle soluzioni assicurative. L'unione di questi due mondi ha dato vita a un portafoglio di offerta unico nel suo genere che unisce l'aspetto della protezione IT e della gestione dei documenti di conformità alla garanzia assicurativa rispetto ai possibili danni economici che un cyber attack puo' causare all'azienda e ai propri clienti e fornitori.
Generare e rigenerare il Business - Super intensive starter. Rende 20-24/06/2016CentoCinquanta srl
Generare e Rigenerare il Business, Rende 20-24 Giugno 2016.
Cinque giorni per comprendere e reinventare il business. I partecipanti apprenderanno come creare un business rapidamente e come spingerlo sui mercati globali
Accade spesso di osservare che le imprese siano attraversate da iniziative tra loro incoerenti e non monitorate; esiste un metodo per evitare che ciò accada e che, conseguentemente faccia perdere tempo prezioso al management. Tale metodo, dopo aver identificato le iniziative strategiche, coinvolge il personale nella loro messa in opera e procede anche al relativo monitoraggio periodico. Una sfida nuova per le aziende, una sfida che oggi si rivela imprescindibile per assicurare che le risorse economico finanziarie siano indirizzate sempre meglio.
Creare o distruggere valore per i portatori di interesse e analisi dei proces...CentoCinquanta srl
In questa breve disamina verranno affrontate alcune tematiche utili a far comprendere alle imprese quale valore fornire al cliente, quale valore erogare ai propri dipendenti, ai fornitori, all’ambiente naturale, ai soci ecc. L’impresa vincente, oggi, riesce ad ottemperare a questi interessi componendoli in un quadro organico che non scontenti l’uno a vantaggio dell’altro. Per farlo, l’impresa ha bisogno di comprendere i suoi diversi ruoli, comporre una vision unitaria e monitorare lo sviluppo delle iniziative strategiche conseguenti. Questo argomento è la sfida sulla quale aziende apparentemente simili oggi diventeranno competitive e uniche nel prossimo futuro.
Creare o distruggere valore per i portatori di interesse e analisi dei proces...CentoCinquanta srl
In questa breve disamina su come creare o distruggere valore per i portatori di interesse verranno affrontate alcune tematiche utili a far comprendere alle imprese quale valore fornire al cliente, quale valore erogare ai propri dipendenti, ai fornitori, all’ambiente naturale, ai soci ecc. L’impresa vincente, oggi, riesce ad ottemperare a questi interessi componendoli in un quadro organico che non scontenti l’uno a vantaggio dell’altro. Per farlo, l’impresa ha bisogno di comprendere i suoi diversi ruoli, comporre una vision unitaria e monitorare lo sviluppo delle iniziative strategiche conseguenti. Questo argomento è la sfida sulla quale aziende apparentemente simili oggi diventeranno competitive e uniche nel prossimo futuro.
Il lavoro presentato fornisce un prospetto di sintesi nella valutazione del rapporto tra performance economico finanziarie di medio termine e struttura finanziaria dell’impresa, intesa sia come rapporto tra equity e debt, che come struttura del capitale investito in senso stretto.
Attraverso l’analisi di alcuni indicatori di bilancio (Leverage, Z score, Acid test, Asset turnover) sarà mostrato come, sebbene permanga comunque valido il teorema di Modigliani – Miller, è nella pratica possibile individuare correlazione tra alcune variabili economiche e finanziarie.
Sarà l’analisi di bilancio inoltre a mostrare come il corretto utilizzo delle fonti di finanziamento influenzi, in pratica, il tasso di interesse medio praticato alle PMI.
In ultimo, sarà analizzata la struttura finanziaria di una impresa con indebitamento mettendo in luce la valenza qualitativa delle fonti di finanziamento diverse da quelle bancarie.
Come avviare l'organizzazione di un'azienda più flessibileCentoCinquanta srl
L’oggetto dell’intervento è molto mirato. Non vogliamo trattare “semplicemente” i vantaggi della flessibilità, ma per riuscire a discutere di come avviarla, è necessario comprendere il valore. Un’azienda flessibile è un’azienda in cui è tenuto a freno il comportamento burocratico e le gerarchie. Tenendo a freno entrambi questi elementi, si riducono i costi di attendere che la decisione venga presa da qualcuno che non ha una conoscenza approfondita della materia per la quale deve prendere la decisione stessa.
Cos’è quindi la flessibilità. E’ la libertà di prendere decisioni sugli ambiti in cui è stata data delega e nella misura in cui questa libertà non leda la delega concessa ad altri.
Per riuscire ad avere un’azienda flessibile sono necessari alcuni ingredienti:
1) dobbiamo avere (o è necessario modificare) una cultura dell’organizzazione propensa alla delega e pronta ad abbandonare le gerarchie;
2) dobbiamo ben evidenziare la vision aziendale e le iniziative strategiche che l’imprenditore vuole realizzare nel tempo
3) dobbiamo comprendere l’organizzazione attuale e i suoi attuali centri di responsabilità.
4) Dobbiamo formare e informare tutti i dipendenti all’uso nuovi strumenti manageriali
Detenuti i primi quattro elementi di cui sopra, possiamo cominciare il processo di riorganizzazione in chiave flessibile dell’azienda.
Distinguerei i seguenti passi:
- enucleare i diversi team
- definire il team leader
- assicurare che riunioni dei team siano calendarizzate e non si trasformino in un’occasione per “non lavorare”.
- Impedire i comportamenti gerarchici rimandando le decisioni alla revisione della organizzazione dei ruoli interni al team
- Definire in maniera sempre più chiara, nel tempo, i ruoli di ciascun componente del team in modo che egli sappia quali sono i margini della sua delega e del suo conseguente potere discrezionale.
- Assicurare che il team leader non soffochi le iniziative individuali, ma le indirizzi al rispetto della strategia e degli indicatori di performance.
E’ un viaggio lungo e periglioso, ma i tempi che viviamo e che vivremo costringono le organizzazioni a ricercare strumenti che accrescano stabilmente la produttività, rendano più rapido il cambiamento e l’adattamento ai mutamenti del mercato. Questa road map, già testata in molte occasioni, riesce in questo scopo.
Le basi della pianificazione: budget di previsione e analisi degli scostamentiCentoCinquanta srl
Together per le imprese: Finanza - Garanzia - Controllo.
20 marzo alle 17.30 presso la sede di UniCredit, via Sant'Euplio 9, Catania.
Affronteremo alcune tematiche di gestione e i relativi processi aziendali utili ad implementare un modello di controllo di gestione.
In particolare: di cosa si occupano normalmente i C.F.O. o i consulenti gestionali ?
Valutare l’andamento dell’impresa attraverso un’analisi della situazione corrente e misurandone le performance; valutare i fabbisogni finanziari dell’impresa nel breve periodo, sviluppare strategie finanziarie di lungo periodo, attraverso la pianificazione e l’implementazione dei budget economico e finanziario.
La lettura del bilancio aziendale, deve tener conto dell’analisi di performance e distinguere tra il risultato della gestione finanziaria e quella economica. Il possibile divario tra il risultato economico e risultato finanziario è dovuto al diverso significato assunto dalle due misurazioni e al diverso principio alla base della loro determinazione. Al fine di valutare meglio la performance dell’azienda, risulta opportuno determinare, oltre al reddito finale, alcuni risultati reddituali intermedi, in grado di esprimere il contributo delle diverse aree gestionali alla formazione dell’utile
o della perdita.
L’organizzazione aziendale è – secondo Henry Minzberg – un insieme stabile di attori indirizzati verso un comune obiettivo generale che, al fine di realizzarlo, ricorrono ad una divisione del lavoro e a delle modalità di coordinamento e controllo.
Abbiamo in questa definizione tre ingredienti, dei quali due palesi e uno nascosto: l’organizzazione aziendale è costituita da una strategia, che fissa i comuni obiettivi generali, da una struttura, che determina la divisione, il coordinamento e il controllo dell’organizzazione e da una cultura aziendale.
La strategia è un tema unificatore che conferisce coerenza e unicità di direzione alle azioni e alle decisioni di un individuo o di una organizzazione.
Le due componenti fondamentali dell’analisi strategica sono:
- Creazione del valore (scelta del valore, risorse umane e materiali)
- Cattura del valore (analisi settoriale, segmentazione del mercato, scelta del target a cui puntare)
La struttura organizzativa è la creazione sociale di compiti, ruoli e relazioni che facilita l’efficace coordinamento e il controllo di un gruppo che deve raggiungere un obiettivo comune. La struttura organizzativa è contraddistinta dalla presenza di meccanismi di integrazione e differenziazione.
- La differenziazione è l’insieme di meccanismi che permette di stabilire e controllare la divisione del lavoro, o il grado di specializzazione, nell’organizzazione. Sono, quindi, meccanismi di differenziazione, la suddivisione di compiti e ruoli. Tali meccanismi sono funzionali ad un efficace coordinamento tra individui differenti che compiono attività separate in vista di un unico risultato finale.
- L’integrazione è il processo di coordinamento tra le diverse mansioni, funzioni e divisioni, finalizzato a far si che lavorino in maniera armonica e non l’uno contro l’altro. Per integrazione si intende - in altri termini - l’attività che consente di riportare ad un’unità di intenti gli sforzi prodotti dai singoli ruoli.
La cultura aziendale è l’insieme di pratiche e abitudini che si consolidano all’interno di un’organizzazione. Definire da subito quali pratiche e quali routine sono auspicabili e quali sono da considerare deprecabili costituisce sicuro volano di crescita, poiché riduce le frizioni che interverranno durante le fasi di cambiamento organizzativo.
Il workshop punta la sua attenzione sulla componente strategica dell’azienda. In particolare, durante l’incontro, risponderemo alle seguenti domande:
1) Come si collega la struttura organizzativa alla strategia?
2) Qual è il nesso tra la vision aziendale e le strategie?
3) Come si costruisce una mappa delle proprie strategie?
4) Qual è l’orizzonte temporale delle strategie?
5) Come si monitorano le strategie aziendali, ed in particolare, chi è deputato al monitoraggio?
Quali sono gli elementi di maggiore disturbo nella preparazione di un budget?
Cosa ne ostacola il corretto ed efficace funzionamento? Perchè il CFO si trova a dover inseguire i dati?
Siamo convinti che il problema vada scisso in tre componenti : 1) il design delle voci di budget 2) la partecipazione alla sua creazione 3) le regole per la gestione delle periodiche revisioni.
Definita la catena del valore, i relativi centri di costo e ricavo e i collegati responsabili, siamo in grado di impostare il budget. Si tratta adesso di far nascere un team che coinvolga da subito i diversi attori. Ultimata questa fase, bisogna assicurarsi che si svolgano ordinate riunioni periodiche ove ciascun referente comunichi il consuntivo del periodo e gli scostamenti.
Atti del convegno “Finanziare la crescita: Fondi di investimento, mercato dei capitali, mini bond” venerdì 11 aprile Etis 2000 - Centro Stampa Editoriale, Zona Industriale di Catania. Organizzato da ANDAF, Associazione Nazionale dei Direttori Amministrativi e Finanziari, in collaborazione con la società catanese di consulenza specializzata nella direzione aziendale, CentoCinquanta S.r.l.
Il Fondo Italiano d'Investimento ha l'obiettivo di generare nel medio termine un nucleo consistente di "medi campioni nazionali" che sia sufficientemente patrimonializzato ed in grado di affrontare le sfide della competitività internazionale.
Atti del convegno “Finanziare la crescita: Fondi di investimento, mercato dei capitali, mini bond” venerdì 11 aprile Etis 2000 - Centro Stampa Editoriale, Zona Industriale di Catania. Organizzato da ANDAF, Associazione Nazionale dei Direttori Amministrativi e Finanziari, in collaborazione con la società catanese di consulenza specializzata nella direzione aziendale, CentoCinquanta S.r.l.
Le piccole e medie imprese sono spesso le più ambiziose, ma per andare lontano hanno bisogno di nuove risorse, nuove relazioni, nuovi capitali.
Per aiutare le imprese a realizzare i loro progetti di crescita Borsa Italiana ha creato ELITE, una piattaforma unica di servizi integrati che mette a disposizione le competenze industriali, finanziarie e organizzative per vincere le sfide dei mercati internazionali.
ELITE si rivolge alle migliori aziende italiane e con un programma in tre fasi le aiuta a tracciare la rotta verso il successo. Le affianca in un processo unico di cambiamento culturale e organizzativo, le avvicina ai mercati di capitali, migliora i rapporti col sistema bancario e imprenditoriale
facilita l’internazionalizzazione.
Una società ELITE è più trasparente, più efficiente, più visibile e più attraente per i potenziali investitori.
ELITE valorizza il presente e prepara il futuro perchè ELITE è crescita, cambiamento, leadership.
Composizione e quantificazione del fabbisogno finanziario juvaraCentoCinquanta srl
L’obiettivo è quello di creare sviluppo dando nuove opportunità economiche: così Andaf Sicila, Associazione Nazionale dei Direttori Amministrativi e Finanziari, in collaborazione con CentoCinquanta Srl, aiuta gli imprenditori etnei a fare un processo completo di analisi, valutando esigenze e rischi del mercato, ma anche avviando una precisa programmazione per andare oltre la crisi con idee innovative e di successo. E lo fa anche portando a Catania per la seconda volta gli esperti di Borsa Italiana Spa.
“Finanziare la crescita: Fondi di investimento, mercato dei capitali, mini bond” è la prima sessione di incontri organizzati da Andaf Sicilia, in collaborazione con Borsa Italiana, Fondo Italiano d’Investimento e CentoCinquanta Srl. Tra i temi affrontati da Borsa Italiana quelli relativi ai fondi di investimento nel supporto alle piccole e medie imprese. Partner dell'evento Credito Siciliano, Kpmg, Piteco, Andaf, Etis e Plastica Alfa in qualità di testimonial del progetto Elite di Borsa Italiana.
A spiegare alle imprese siciliane come il mercato finanziario debba essere vissuto come risorsa attraverso nuovi investimenti e opportunità e come tirar fuori dai propri manager sempre il meglio, sono stati degli interlocutori d’eccezione: Filippo D’Amico, presidente Andaf Sicilia, Roberto Del Giudice, Investor Relation di Fondo Italiano d’investimento, che ha parlato del ruolo del Fondo Italiano d’investimento per lo sviluppo delle imprese, Vittorio Benedetti, Continental Europe di Borsa Italiana che ha proposto le opportunità offerte da Borsa Italiana per le PMI, Mauro Juvara, presidente del C.d.a. di CentoCinquanta che ha parlato di composizione e quantificazione del fabbisogno finanziario. La certificazione di bilancio nel processo di avvicinamento ai mercati finanziari è stato l’argomento trattato da Giovanni Coci di Kpmg, mentre Santo Sciuto di Credito Siciliano ha parlato degli strumenti a disposizione della banca del territorio per finanziare la crescita. Andrea Guillermaz di Piteco ha proposto modelli di controllo informativo e dispositivo e soluzioni a supporto delle imprese. A chiudere i lavori Josephine Pace, resposabile marketing e sviluppo strategico di Plastica Alfa, che ha raccontato “l’esperienza Elite”. Con “Finanziare la crescita: Fondi di investimento, mercato dei capitali, mini bond”, si è voluto, insomma, rilanciare l’economia locale creando anche le condizioni per proporre livelli di credito pari al periodo pre-crisi, permettere agli imprenditori di confrontarsi con investitori istituzionali alternativi al mercato bancario, presentare opzioni credibili in termini di organizzazione, controllo, trasparenza e lungimiranza. La seconda sessione del convegno è in programma il prossimo giugno e affronterà il tema "Mini bond e operazioni di finanza straordinaria". Per info antonella.barone@centocinquanta.it
Sei passi per accrescere la produttività migliorando le procedure.
Cambiamenti utili e duraturi sono possibili solo se, identificato l’obiettivo da raggiungere, vi è un’armonica partecipazione da parte di tutti gli attori necessari al suo raggiungimento.
Da dove iniziare quindi? Questa è la domanda che sta al centro del I workshop del 2014; ecco la road map suggerita da CentoCinquanta.
1) Analizzare la catena del valore;
2) Definire una priorità di intervento: verificare se i maggiori gap sono riscontrabili all’interno del processo primario di ciascuna business unit oppure nel legame tra la business unit e specifici processi di supporto.
3) Definire le procedure oggetto di intervento e gli obiettivi attesi dal miglioramento
4) Creare una cultura del cambiamento tramite la costituzione di un team
5) Assicurarsi che il team applichi le tecniche del problem solving e il ciclo PDCA
6) Festeggiare i risultati raggiunti dal team e puntare l’attenzione sulle lezioni apprese
Durante il workshop entreremo nel dettaglio e studieremo casi aziendali anche sulla base dell’interazione in sala con gli imprenditori. Avremo anche una forte interazione tra consulenti CentoCinquanta: le competenze organizzative e di controllo debbono mischiarsi e fondersi per ottenere un beneficio duraturo in azienda.
Simulazioni e risk Managment"Cosa succederebbe se.” È la domanda con cui si confronta ogni impresa nell’affrontare il tema dell’incertezza, intrinseco all’attività imprenditoriale (oltre che alla vita quotidiana, a ben vedere). Cosa succederebbe se vendessimo di meno, se vendessimo di più, se il costo delle materie prime si alzasse, se i tassi di interesse si modificassero. E se domani un temporale rovinasse un silos (e se un meteorite si abbattesse sul tetto)? E se il direttore amministrativo si licenziasse?
Incertezza, rischio e rendimenti sono variabili certamente correlate; la vera sfida è il buon governo delle stesse, ovvero la conoscenza delle leggi, indisponibili, che le stesse regolano.
Analisi del rischio e simulazioni su variabili endogene ed esogene sono quindi, oggi soprattutto in cui la variabilità è parecchio più sostenuta che in altri periodi, tools dal cui possesso nessun’azienda può prescindere e la cui conoscenza appare sempre più indispensabile.
CentoCinquanta srl
Missione
Creare valore per le imprese condividendo le sfide d'imprenditori e manager e costruendo rapporti di partnership di lunga durata.
Descrizione
CentoCinquanta mira a rilasciare un metodo che renda stabile e continuo il miglioramento in azienda.
A tal fine contribuisce a costruire una cultura aziendale incline alla proattività, alla leadership collettiva, al cambiamento continuo, implementa efficaci sistemi di controllo di gestione e di finanza aziendale.
Ogni anno, in partnership con i migliori player sul mercato nazionale, CentoCinquanta partecipa alla divulgazione della cultura d'impresa tramite workshop, seminari e convegni.
Un tema sempre molto scottante per le aziende ossia "come accrescere la produttività e gestire il cambiamento". Identificare le strategie da perseguire è un'impresa che richiede visione, squadra, capacità introspettive, ma non basta se poi non siamo in grado di monitorare se stiamo perseguendo quelle strategie in maniera efficace ed efficiente. Occorre sulla misurazione delle strategie, sul monitoraggio che deve essere applicato affinché la strada sia sì quella giusta e il suo percorso sia monitorato. Giusto per fare un esempio, supponiamo di aver pianificato di andare da New York a Washington in macchina e visitare tre musei. La vision che mi ha guidato può essere stata: "fare un viaggio che mi arricchisse culturalmente", la strategia può essere stata percorrere l'interstatale. Ma se non avessi considerato che è necessario percorrere 4 ore di autostrada, probabilmente avrei organizzato male il mio viaggio. Vision, strategie e loro misurazione sono un trinomio inscindibile, poiché l'azienda è un corpo in cambiamento e abbiamo bisogno di monitorare le nostre performance di viaggio per decidere se dobbiamo cambiare rotta.
La mappa strategica: la creazione delle strategie di crescita e il loro monit...CentoCinquanta srl
Nessun vento è favorevole per il marinaio che non sa a quale porto vuol approdare. Questa citazione attribuita a Seneca sintetizza il momento economico, manageriale e cognitivo in cui si trovano ad operare i manager oggi, sia pubblici che privati.
La crisi mette a dura prova la capacità di cambiamento degli imprenditori anche per la difficoltà di intravedere percorsi nuovi, nuovi obiettivi, nuovi scenari, a fronte di un cambiamento esogeno, radicale e illeggibile come quello che stiamo vivendo.
Lo strumento inventato da Kaplan e Norton nel 2001, per supportare la costruzione della Balanced Scorecard, può essere uno strumento potente per uscire da questo guado mentale. Per rimanere nella metafora di Seneca, il vento è scarso, a volte vi è bonaccia, ma qualora sia presente, finchè non c’è una meta verso la quale rivolgersi, rimane comunque un vento inutilizzabile ai nostri fini.
1. Privacy: come cambia la regolamentazione della
materia con il nuovo GDPR
Avv. Fabio U. Ferrara
1
2. Contesto di riferimento e Data Breach
2016: peggiore anno per la sicurezza dei dati, con una considerevole crescita dei
problemi e degli incidenti di sicurezza in campo tecnologico e informatico.
1050: numero di incidenti noti, rilevati nel corso del 2016, classificati come gravi
(Rapporto Clusit 2017).
Per incidenti gravi si intendono quelli con conseguenze significative per le vittime
in termini di danno economico, di reputazione o di diffusione di dati sensibili.in termini di danno economico, di reputazione o di diffusione di dati sensibili.
Attenzione: si tratta di incidenti noti, cioè resi di pubblico dominio o per obblighi di
divulgazione o per dimensione tale da non poter passare inosservati. Vi è
un’enorme quantità di incidenti e problemi di sicurezza che non vengono divulgati
pubblicamente. Il dato è sufficiente per comprendere la criticità della situazione.
2
3. Data breach 2017
PRIMO SEMESTRE
2017
✓ 918 violazioni
✓ 1,9 miliardi di record
compromessi in tutto il
mondo
✓ rispetto agli ultimi
3
✓ rispetto agli ultimi
sei mesi del 2016, il
numero di record rubati
o compromessi è
aumentato del 164%
Ci si aspetta che l’entrata in vigore del Regolamento GDPR e il conseguente obbligo
di notifica dei data breach faranno aumentare sensibilmente i numeri
Fonte: Gemalto’s Breach Level Index
4. Caso 1 | Perdita di dati aziendali
• Società di consulenza
• gestione di grosse moli di dati di terzi
Cos’è successo?
attacco informatico con blocco dell’accesso al
server e ai computer collegati
l’attaccante chiede che siano versati dei soldi
per riottenere l’accesso ai dati (attacco con
riscatto - ransomware)
Perché è successo?
Insufficiente valutazione dei rischi
Mancanza di adeguata protezione contro
accessi illeciti
4
5. Caso 2 | Perdita di dati aziendali
• Azienda produttiva con sedi anche
all’estero
• Sistema informatico gestito da personale
interno con frequente turnover
Una mattina…
il server di posta non risponde più
il file server non risponde più
Il gestionale non risponde più
i file locali spariscono
il backup risulta inutilizzabile
5
6. Caso 1 | Perdita di dati aziendali
Com’è successo?
Un ex dipendente (reparto IT) si è introdotto illecitamente sul server di una delle
sedi aziendali e:
• è entrato nel centro stella
• ha fermato e cancellato le virtual machine
• ha cifrato il backup• ha cifrato il backup
• ha causato la cancellazione di tutti i documenti su tutti i pc che si collegavano in
rete
Perché è successo?
• password amministrative mai modificate
• sistemi di monitoraggio assenti
• sistemi di sicurezza non adeguati
6
7. Contesto
La diffusione di trattamenti dei dati che per natura, oggetto o finalità possono
presentare rischi per i diritti e le libertà degli interessati ha reso necessaria la
riforma di una normativa basata sulla Direttiva CE 95/46 di oltre 20 anni fa, scritta
per un’epoca in cui la maggioranza degli scambi avveniva per corrispondenza con
fax e francobolli.
Le nuove regole mirano ad adeguare le norme di protezione ai cambiamentiLe nuove regole mirano ad adeguare le norme di protezione ai cambiamenti
determinati dall’evoluzione delle tecnologie e dal mutamento degli scenari sociali ed
economici:
✓dato personale come asset con valore economico
✓ dati personali oggetto di trattamento con nuove tecnologie per differenti finalità
✓ evoluzione tecnologica dirompente con Big Data, Cloud, Geolocalizzazione,
Social, Videosorveglianza, Biometria,etc.
7
8. Regolamento 2016/679 (GDPR)
✓ Abroga la Direttiva 95/46/CE
✓ Direttamente applicabile negli Stati Membri senza bisogno di
recepimento da parte dei singoli ordinamenti nazionali
✓ «Standardizza» ed unifica il quadro normativo della data protection a«Standardizza» ed unifica il quadro normativo della data protection a
livello comunitario, eliminando asimmetrie e “barriere” create nel
tempo da normative nazionali frammentarie e diverse tra loro, con
ostacolo alla circolazione dei dati tra un paese e l’altro
✓ Entra in vigore il 25 maggio 2018 per tutte le organizzazioni che
operano nel mercato UE e che nell’ambito del loro business trattano
dati personali
9. Ambito di applicazione
Il Regolamento si applica:
• alle imprese che abbiano un proprio stabilimento nell’Unione
Europea, indipendentemente dal fatto che il trattamento sia effettuato
o meno nell’Unione Europea;
• al trattamento di dati personali di interessati che si trovano nell’UE• al trattamento di dati personali di interessati che si trovano nell’UE
anche se effettuato da imprese che non hanno uno stabilimento
nell’UE nel caso in cui offrono beni o servizi nell’Unione o
monitorano i comportamenti di interessati all’interno dell’Unione.
9
10. Principali novità per le imprese
Radicale ribaltamento di prospettiva
• Codice della Privacy (D.Lgs. 196/2003): elenco
delle misure minime di sicurezza (allegato B del
Codice) - principio “si è sicuri se si è conformi”
• GDPR: spariscono le misure minime - tocca
all’ente determinare quale sia il corretto livello di
sicurezza da adottare per essere conforme al
Regolamento - principio “si è conformi se si è
sicuri”
Si passa da una conformità statica a una conformità
dinamica.
10
11. Principali novità per le imprese
Radicale ribaltamento di prospettiva
Al Titolare (e al Responsabile) del trattamento è richiesto:
• di pensare il trattamento di dati personali in un’ottica che ne preveda• di pensare il trattamento di dati personali in un’ottica che ne preveda
una protezione fin dalla progettazione (data protection by design e
by default);
• di dimostrare e, quindi, documentare con evidenze oggettive in ogni
momento, la propria conformità al Regolamento (accountability).
11
12. Principali novità per le imprese
Data protection by design
Data protection by defaultData protection by default
Accountability
12
13. Privacy by design
«Protezione dei dati fin dalla fase di progettazione»: quando un tipo di
trattamento, considerati la natura, l'oggetto, il contesto, le finalità e l'uso di
nuove tecnologie, può presentare un rischio per i diritti e le libertà degli
interessati, il Titolare del trattamento, sia nella scelta dei mezzi del trattamento
sia all'atto del trattamento stesso, adotta misure tecniche e organizzativesia all'atto del trattamento stesso, adotta misure tecniche e organizzative
adeguate per ridurre al minimo i rischi del trattamento:
✓ Fase di Progettazione
✓ Software Selection
✓ Risk Assessment
✓ Processi
13
14. Privacy by Default
«Protezione dei dati per impostazione predefinita»: il Titolare del trattamento
deve mettere in atto misure tecniche e organizzative adeguate per garantire che
siano trattati, per impostazione predefinita, solo i dati personali necessari per
ogni specifica finalità del trattamento (principi di minimizzazione, necessità e
pertinenza).
Ciò vale per:Ciò vale per:
✓ la quantità dei dati raccolti (deve essere coerente con le finalità del
trattamento)
✓ il periodo di conservazione (deve essere impostato a monte in funzione delle
finalità)
✓ l’accessibilità (non deve consentirsi l’accesso a un numero indefinito di
persone)
14
15. Accountability (Responsabilizzazione)
✓ Assicura, dimostra, comprova
è richiesto a Titolare e Responsabile di adottare un apparato di misure tecniche e
organizzative adeguate per garantire che il trattamento sia effettuato in conformità al
Regolamento ed essere in grado di dimostrarlo e comprovarlo.
✓ Onere della prova della compliance normativa in capo al Titolare
Il Titolare deve precostituire un apparato documentale per dimostrare di avere adottatoIl Titolare deve precostituire un apparato documentale per dimostrare di avere adottato
gli adempimenti, le procedure e le misure opportune per eliminare o ridurre al minimo i
rischi. L’adesione a codici di condotta o meccanismi di certificazione aiuta -ma non
basta- a dimostrare la conformità.
✓ Conservazione della documentazione
Il Titolare ha l’obbligo di conservare la documentazione di tutti i trattamenti effettuati
sotto la propria responsabilità.
15
16. Adeguarsi al GDPR: i 7 passi da fare
1. Identificare i principali rischi a cui è esposta l’organizzazione, in
relazione alla tipologia di dati trattati ed alle tipologie di trattamenti svolti;
2. individuare i gap dei processi di gestione aziendali rispetto ai requisiti
previsti dalla normativa;
3. programmare un piano di intervento mirato per attuare processi e
misure di gestione della Privacy;misure di gestione della Privacy;
4. adeguare la struttura organizzativa interna e i rapporti con i soggetti
esterni (contitolari o responsabili del trattamento dati) ai requisiti privacy
del Regolamento;
5. predisporre la documentazione per dimostrare la propria conformità alle
regole;
6. predisporre o adeguare la modulistica con i clienti/utenti;
7. formare il personale.
17. Come fare per mettersi in regola:
gli adempimentigli adempimenti
17
18. Creare il Dossier Privacy
18
Costituisce il “corpo” dell’adeguamento: contiene -in un
contesto sistematico- la documentazione delle scelte a
carico del Titolare (o del Responsabile) del trattamento.
19. Predisporre il Registro dei Trattamenti
Documento che contiene la mappatura dei trattamenti cui sono sottoposti i dati
gestiti dall’ente.
Sono obbligati a tenere ed aggiornare il Registro tutti i Titolari/Responsabili del
trattamento:
• che abbiano più di 250 dipendenti,
• con meno di 250 dipendenti, il cui trattamento presenti rischi per i diritti e le libertà
degli interessati, non sia occasionale o riguardi speciali categorie di dati (dati
sensibili e biometrici).
La tenuta del Registro è obbligatoria anche per i Responsabili, i quali dovranno
avere un impegno contrattuale con il Titolare ai fini dell’accountability.
19
20. Registro dei trattamenti
Il Registro deve avere forma scritta, anche elettronica, e deve essere esibito
su richiesta del Garante.
Raccomandazioni del GaranteRaccomandazioni del Garante
“Si invitano tutti i Titolari e i Responsabili dei trattamenti, a prescindere dalle
dimensioni dell’organizzazione, a compiere i passi necessari per dotarsi di tale
Registro e, in ogni caso, a compiere un’accurata ricognizione dei trattamenti
svolti e delle rispettive caratteristiche”
20
21. Strutturare la sicurezza del trattamento
(art. 32 GDPR)
La sicurezza privacy ha l’obiettivo di garantire l’integrità dei dati e la difesa
degli stessi da attacchi esterni: obiettivo non fine a se stesso ma
strumentale alla finalità ultima di protezione della persona fisica.
21
strumentale alla finalità ultima di protezione della persona fisica.
La sicurezza privacy è un adempimento composto da molti sub
adempimenti, che riguardano la parte legale, la parte organizzativa, la parte
informatica.
22. Sicurezza del trattamento
Documenti da produrre Azioni
Documento Valutazione dei Rischi
• Compilare e tenere aggiornato il documento
valutazione rischi
• Esecuzione misure tecniche e organizzative
inserite nel documento
• Verificare obbligo di compilazione
• Chiedere parere DPO
22
Documento di Valutazione Impatto
Privacy
• Chiedere parere DPO
• Compilare e tenere aggiornato il documento
VIP
• Esecuzione misure tecniche e organizzative
inserite nel documento
Procedura data breach
• Individuazione ufficio responsabile
• Compilazione protocollo di azioni
• Esecuzione misure tecniche e organizzative
inserite nel documento
• Verifica sussistenza cause di esonero
• Compilare e tenere aggiornato il registro della
violazione dei dati
23. Elenco di alcuni rischi / classificazione del GDPR
Distruzione
Perdita
Sicurezza del trattamento
23
Perdita
Modifica
Divulgazione non autorizzata
Accesso accidentale o illegale
24. Sicurezza del trattamento
Rischi
Comportamenti
degli operatori
• sottrazione di credenziali di autenticazione
• carenza di consapevolezza, disattenzione o incuria
• comportamenti sleali o fraudolenti
• errore materiale
• altro evento
Eventi relativi agli
• virus informatici o programmi suscettibili di recare danno
• spamming o tecniche di sabotaggioEventi relativi agli
strumenti
• spamming o tecniche di sabotaggio
• malfunzionamento, indisponibilità o degrado degli strumenti
• accessi esterni non autorizzati
• intercettazione di informazioni in rete
• altro evento
Eventi relativi al
contesto
• accessi non autorizzati a locali/reparti ad accesso ristretto
• sottrazione di strumenti contenenti dati
• eventi distruttivi, naturali o artificiali (terremoti, incendi, allagamenti)
nonché dolosi, accidentali o dovuti a incuria
• guasto ai sistemi complementari (impianto elettrico, climatizzazione, ecc.)
• errori umani nella gestione della sicurezza fisica
• altro evento
24
25. Documento Valutazione Rischi
Devono fare la valutazione dei rischi tutte le organizzazioni pubbliche e private.
Analisi dei rischi: operazione in cinque mosse
1) Individuare il rischio n. 1 (ad es. perdita del dato)
2) Descrivere lo stato dell’arte
25
3) Valutare le varie misure astrattamente adottabili per evitare o ridurre al minimo il
rischio
4) Identificare e adottare la misura tecnica e organizzativa
5) Fare monitoraggio e manutenzione delle misure adottate
Poi si ricomincia il giro con il rischio n. 2 e così via.
26. Misure di sicurezza
Si deve ricorrere sia a misure tecniche sia a misure organizzative
• Pseudonimizzazione e cifratura dei dati personali
• Capacità di assicurare in modo permanente la riservatezza, l‘integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento
• Capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati
personali in caso di incidente fisico o tecnico (Data Recovery). Attenzione: ilpersonali in caso di incidente fisico o tecnico (Data Recovery). Attenzione: il
Regolamento non fissa un termine esatto per il ripristino, limitandosi a dire
che deve essere tempestivo. Nella valutazione dei rischi bisogna indicare un
periodo preciso e brevissimo, non si può restare sul generico
• Procedure per testare, verificare e valutare regolarmente l'efficacia delle
misure tecniche e organizzative al fine di garantire la sicurezza del
trattamento
26
27. Valutazione di Impatto Privacy - VIP
(Privacy Impact Assessment)
“Valutazione dei Rischi” e “Valutazione di Impatto”
sono istituti diversi
• La “Valutazione dei Rischi” è sempre necessaria (individua le misure di• La “Valutazione dei Rischi” è sempre necessaria (individua le misure di
sicurezza “adeguate”);
• la Valutazione di Impatto è attività riservata alla gestione dei rischi
elevati per i diritti e le libertà fondamentali degli interessati.
27
28. Valutazione di Impatto Privacy - VIP
Casi in cui la Valutazione di Impatto Privacy è obbligatoria
(art. 35 GDPR e Linee Guida Gruppo Articolo 29):
• Trattamenti valutativi o di scoring, compresa la profilazione
• Trattamenti di dati personali su “larga scala”
• Sorveglianza sistematica su larga di zona accessibile al pubblico (es.• Sorveglianza sistematica su larga di zona accessibile al pubblico (es.
videosorveglianza di zone accessibili al pubblico)
• Decisioni automatizzate che producono significativi effetti giuridici (es.
concessione di prestiti, stipula di assicurazioni, ecc.)
• Trattamenti su categorie particolari di dati (es. sensibili, biometrici, giudiziari)
• Trattamento effettuato con nuove soluzioni tecnologiche (es. riconoscimento
facciale, device IoT, ecc.)
• Altre ipotesi che saranno elencate e pubblicate dall’Autorità Garante
28
29. Valutazione di Impatto Privacy - VIP
Requisiti minimi della VIP
La valutazione d’impatto, previo parere del DPO se nominato, deve contenere:
✓ Una descrizione sistematica del trattamento previsto
✓ Una valutazione dei rischi per i diritti e le libertà degli interessati
✓ una valutazione della necessità e proporzionalità del trattamento in relazione alle
finalitàfinalità
✓ Le misure previste per affrontare i rischi, includendo le garanzie, le misure di
sicurezza e i meccanismi per garantire la protezione dei dati personali e
dimostrare la conformità al Regolamento
Consultazione preventiva. Se dalla valutazione di impatto emerge che il rischio
non possa essere ragionevolmente minimizzato mediante le tecnologie disponibili o
per gli elevati costi di attuazione, il Titolare del trattamento, prima di procedere al
trattamento, consulta l‘Autorità di controllo.
29
30. Procedura Data Breach
La violazione della sicurezza dei dati personali riguarda le ipotesi in cui si verifica,
accidentalmente o in modo illecito, la distruzione, perdita, modifica, divulgazione non
autorizzata o l’accesso non autorizzato ai dati personali.
Obblighi
• tutti i Titolari devono notificare la violazione all’Autorità Garante entro 72 ore, a
meno che appaia improbabile che da tale violazione derivi un rischio per i diritti e le
libertà degli interessati (se oltre le 72 ore deve essere corredata da giustificazionelibertà degli interessati (se oltre le 72 ore deve essere corredata da giustificazione
motivata)
• il Responsabile deve avvisare senza ritardo il Titolare
• il Titolare dovrà informare della violazione anche gli interessati se può causare
un “rischio elevato” per i diritti e le libertà degli stessi senza ingiustificato ritardo
• tutti i Titolari devono in ogni caso documentare le violazioni subite, anche in
mancanza di obbligo di notificazione, nonché le conseguenze e i provvedimenti
adottati (dovere di esibire la documentazione, su richiesta, al Garante in caso
di accertamenti).
30
31. Rapporti con gli interessati
Trasparenza
I dati personali devono essere trattati in modo trasparente nei
confronti dell’interessato:
31
• fornitura di informazioni all’interessato prima del trattamento e,
su sua richiesta, nel corso del trattamento;
• disclosure sull’identità dei soggetti che trattano i dati personali;
• disclosure sui mezzi utilizzati.
32. Rapporti con gli interessati
Documenti da produrre Azioni
Informativa •E’ obbligatoria per tutti gli enti
•verifica informative esistenti
32
•adeguamento ai nuovi contenuti e
adempimenti
Raccolta consensi
• verifica consensi esistenti
• allineamento ai nuovi contenuti e
adempimenti
33. Rapporti con gli interessati
Il Consenso
• E’ una delle basi giuridiche che giustifica e rende legittimo il trattamento
• Tutti gli enti sono tenuti a redigere la formula del consenso conforme agli
standard normativistandard normativi
• L’onere di dimostrare che l’interessato ha espresso il consenso al trattamento dei
suoi dati per scopi specifici incombe sul titolare del trattamento
• La richiesta di consenso deve essere in forma comprensibile e facilmente
accessibile, utilizzando un linguaggio semplice e chiaro
• Il consenso può essere revocato in qualsiasi momento e per la revoca deve
essere garantita la medesima facilità con la quale è stato prestato
• Necessità di consensi separati per marketing, profilazione, cessione dati a
terzi
33
35. Responsabile della Protezione dei Dati
(Data Protection Officer)
Ha una funzione di consulenza, sorveglianza e collegamento con il Garante e con
gli interessati.
Il DPO è obbligatorio se:
• il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;• il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
• le attività principali del Titolare o del Responsabile consistono in trattamenti che
richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
• le attività principali del Titolare o del Responsabile consistono nel trattamento su
larga scala di dati sensibili o di dati relativi a condanne penali e reati.
35
36. Responsabile della Protezione dei Dati
(Data Protection Officer)
• Il ruolo può essere svolto da soggetti interni o esterni all’ente, purché non
si trovi in situazione di conflitto di interessi (Responsabile IT, Responsabile
risorse umane, Responsabile sanitario nelle strutture medico-sanitarie non
può essere nominato DPO perché in conflitto di interessi)può essere nominato DPO perché in conflitto di interessi)
• se esterno, può essere persona fisica o giuridica (con opportuni contratti di
erogazione servizi). Può essere nominato dalle organizzazioni su base
volontaria.
36
37. Ruoli del DPO
• Informa i suoi referenti e fornisce pareri consulenziali in merito agli obblighi
derivanti dal regolamento GDPR e dalle normative correlate
• Sorveglia l'osservanza della normativa, compresi l'attribuzione delle
responsabilità, la sensibilizzazione e la formazione del personale che partecipa
ai trattamenti e alle attività di controllo
• Deve essere consultato per realizzare la valutazione d'impatto e se richiesto• Deve essere consultato per realizzare la valutazione d'impatto e se richiesto
fornire pareri in merito
• Coopera con l’Autorità Garante e funge da punto di contatto con questa per tutte
le questioni connesse al trattamento di dati personali
• Svolge o collabora alla raccolta di informazioni per individuare i trattamenti svolti
• Effettua l’analisi e la verifica dei trattamenti in termini di conformità
37
38. Cosa si rischia a non mettere in atto le
prescrizioni del Regolamento?
38
39. Responsabilità e regime sanzionatorio
Il sistema delle responsabilità è articolato in:
1. Sanzioni amministrative
2. Responsabilità civile per danni
39
40. Responsabilità e regime sanzionatorio
Sanzioni amministrative
Distinte in due gruppi:
a) sanzioni fino a 20 milioni di € o al 4% del fatturato mondiale totale annuo
dell'esercizio precedente consolidato del Gruppo societario (fatturato mondiale)
in caso di violazione di:
✓ principi relativi al trattamento e al consenso
✓ disposizioni relative ai diritti dell’interessato
✓ disposizioni in materia di trasferimento dati
✓ ordine di cessazione del trattamento
b) sanzioni fino a 10 milioni di € o al 2% del fatturato mondiale totale annuo
dell'esercizio precedente consolidato del Gruppo societario (fatturato mondiale)
in caso di violazione di:
✓ adempimenti in capo al Titolare e al Responsabile
40
41. Responsabilità e regime sanzionatorio
Responsabilità civile per danni
• Chiunque subisca un danno causato da una violazione del Regolamento ha il
diritto di ottenere il risarcimento del danno dal Titolare o dal Responsabile del
trattamento;
• onere della prova a carico del presunto autore della violazione: per l’esonero da
responsabilità Titolare o Responsabile devono dare prova che l’evento dannosoresponsabilità Titolare o Responsabile devono dare prova che l’evento dannoso
non gli è in alcun modo imputabile (avere adottato tutte le misure idonee ad
evitare il danno);
• la responsabilità di Titolare e Responsabile del trattamento è solidale:
rispondono ciascuno per l’intero ammontare del danno, al fine di garantire il
risarcimento effettivo all’interessato (salva rivalsa interna nei limiti della quota di
responsabilità).
41