Aggiornamento sulle attività nazionali per schemi di certificazione dei professionisti che operano nell'ambito della protezione dei dati personali e delle organizzazioni in base al nuovo Regolamento UE 2016/679.
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
Carrellata delle nuove iniziative del SC27 in materia di protezione dei dati personali. Dalla 29100 alla 24760 passando per i Privacy Impact Assessment.
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
Questa presentazione descrive gli schemi di certificazione (aziendali) e la figura del DPO nell'ambito della legge 679/2016 (GDPR) nel contesto degli schemi e-CF e EQF. Relaziona anche in merito al lavoro UNI / UNINFO per la legge 4.2013 (Disposizioni in materia di professioni non organizzate)
UNINFO - Le nuove norme della famiglia 27000Fabio Guasconi
Panoramica della 27000:2012 e delle nuovissime 27001 e 27002 del 2013 preparata dagli esperti del SC27 italiano di UNINFO che hanno contribuito duramente ai lavori per la loro uscita negli ultimi anni.
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
Carrellata delle nuove iniziative del SC27 in materia di protezione dei dati personali. Dalla 29100 alla 24760 passando per i Privacy Impact Assessment.
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
Questa presentazione descrive gli schemi di certificazione (aziendali) e la figura del DPO nell'ambito della legge 679/2016 (GDPR) nel contesto degli schemi e-CF e EQF. Relaziona anche in merito al lavoro UNI / UNINFO per la legge 4.2013 (Disposizioni in materia di professioni non organizzate)
UNINFO - Le nuove norme della famiglia 27000Fabio Guasconi
Panoramica della 27000:2012 e delle nuovissime 27001 e 27002 del 2013 preparata dagli esperti del SC27 italiano di UNINFO che hanno contribuito duramente ai lavori per la loro uscita negli ultimi anni.
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
In attesa del Security Summit di Roma, ecco il contributo di Fabio Guasconi e Luciano Quartarone di #Bl4ckSwan sui nuovi trend e normative riguardo Industry 4.0, IoT e Certificazione Privacy UNINFO
Come implementare un sistema di gestione della sicurezza delle informazioni (SGSI) conforme alla norma ISO 27001 che consenta di gestire la sicurezza di tutte le informazioni aziendali, quindi non solo dei dati personali, al fine di tutelare le informazioni aziendali dai rischi che possono correre ed organizzare e controllare i dati e i sistemi che li gestiscono.
Un Mondo Pericoloso e Fragile: Rischi e Sicurezza.
Come salvaguardare il patrimonio delle informazioni? Come affrontare i temi della sicurezza delle informazioni e dei dati, della continuità operativa e le relative certificazioni ISO 27001 e ISO 22301 in maniera concreta senza pagare un capitale? L’Italia è uno dei paesi più sotto pressione: attacchi interni e attacchi esterni minacciano imprese e istituzioni. Le frodi nelle organizzazioni accelereranno in connessione con la crisi economica (le frodi in azienda sono cresciute in UK del 50% nel 2008 - fonte KPMG).
Investire Soldi per la Sicurezza e per la Business Continuity non è sempre una risposta corretta. Una risposta SEMPRE corretta è invece investire in un'analisi dei propri punti di debolezza e porre rimedio in maniera semplice ed efficace.
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
In occasione del MySQL Day 2018 di Roma il TechAdvisor Michelangelo Uberti ha fornito una panoramica delle contromisure tecnologiche a protezione del dato.
I punti trattati durante la presentazione sono:
- Presentazione dell’offerta Par-Tec dedicata a MySQL Enterprise Edition
- Le misure da adottare per essere compliant al GDPR
- La formazione ed i corsi Par-Tec Educational
- Le tecnologie a difesa del dato
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/il-gdpr-e-le-tecnologie-a-protezione-dei-dati-personali
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
Impianti industriali sotto attacco - come le tecnologie informatiche possono aumentare la sicurezza in ambito produttivo.
Il Sistema di Gestione della Sicurezza delle
Informazioni nei Reparti Produttivi - Standard di sicurezza e norme della famiglia ISO 27000.
Presentazione a cura di ing Fabrizio Di Crosta
La certificazione ISO 27001 del sistema di gestione per la sicurezza delle informazioni come strumento per assicurare la protezione dei dati personali secondo il Regolamento 679/2016 UE
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
Cos'è un Audit? Come svolgere tale attività secondo la norma UNI 19011:2011 e come eseguire gli audit su Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma internazionale UNI CEI ISO/IEC 27001:2013. La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un SGSI, ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali.
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...Par-Tec S.p.A.
Il TechAdvisor Fabrizio Pisasale fornisce una panoramica delle minacce rivolte agli utenti e le contromisure applicabili, tra cui la formazione preventiva e gli strumenti tecnologici volti a mitigare l’impatto del classico errore umano.
I punti trattati durante la presentazione sono:
- Cronache di guerra dal 2016
- I 10 attacchi più rappresentativi
- Come difendersi?
- Alla base della sicurezza: la compliance
- La formazione secondo Par-Tec
- Non scordiamoci della tecnologia
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/threat-management-la-vulnerabilita-delle-risorse-umane
Meeting with the sponsors (Nov 25th, 2016) - statusEuroPrivacy
Descriptions to the sponsors and contributors of the first year activity of our collective blog and connected initiatives related to the adoption of the new General Data Protection Regulation
Meeting with the sponsors (Nov 25th, 2016) - planEuroPrivacy
Discussion with the sponsors and contributors of the plan and next activities of our collective blog and connected initiatives related to the adoption of the new General Data Protection Regulation
UNINFO - NUOVI TREND E NORME ISO/UNI - Blockchain, IoT, Big Data, Industry 4...BL4CKSWAN Srl
In attesa del Security Summit di Roma, ecco il contributo di Fabio Guasconi e Luciano Quartarone di #Bl4ckSwan sui nuovi trend e normative riguardo Industry 4.0, IoT e Certificazione Privacy UNINFO
Come implementare un sistema di gestione della sicurezza delle informazioni (SGSI) conforme alla norma ISO 27001 che consenta di gestire la sicurezza di tutte le informazioni aziendali, quindi non solo dei dati personali, al fine di tutelare le informazioni aziendali dai rischi che possono correre ed organizzare e controllare i dati e i sistemi che li gestiscono.
Un Mondo Pericoloso e Fragile: Rischi e Sicurezza.
Come salvaguardare il patrimonio delle informazioni? Come affrontare i temi della sicurezza delle informazioni e dei dati, della continuità operativa e le relative certificazioni ISO 27001 e ISO 22301 in maniera concreta senza pagare un capitale? L’Italia è uno dei paesi più sotto pressione: attacchi interni e attacchi esterni minacciano imprese e istituzioni. Le frodi nelle organizzazioni accelereranno in connessione con la crisi economica (le frodi in azienda sono cresciute in UK del 50% nel 2008 - fonte KPMG).
Investire Soldi per la Sicurezza e per la Business Continuity non è sempre una risposta corretta. Una risposta SEMPRE corretta è invece investire in un'analisi dei propri punti di debolezza e porre rimedio in maniera semplice ed efficace.
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
In occasione del MySQL Day 2018 di Roma il TechAdvisor Michelangelo Uberti ha fornito una panoramica delle contromisure tecnologiche a protezione del dato.
I punti trattati durante la presentazione sono:
- Presentazione dell’offerta Par-Tec dedicata a MySQL Enterprise Edition
- Le misure da adottare per essere compliant al GDPR
- La formazione ed i corsi Par-Tec Educational
- Le tecnologie a difesa del dato
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/il-gdpr-e-le-tecnologie-a-protezione-dei-dati-personali
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
I controlli della ISO 27002:2014 nei reparti produttivi delle aziendeciii_inginf
Impianti industriali sotto attacco - come le tecnologie informatiche possono aumentare la sicurezza in ambito produttivo.
Il Sistema di Gestione della Sicurezza delle
Informazioni nei Reparti Produttivi - Standard di sicurezza e norme della famiglia ISO 27000.
Presentazione a cura di ing Fabrizio Di Crosta
La certificazione ISO 27001 del sistema di gestione per la sicurezza delle informazioni come strumento per assicurare la protezione dei dati personali secondo il Regolamento 679/2016 UE
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
Cos'è un Audit? Come svolgere tale attività secondo la norma UNI 19011:2011 e come eseguire gli audit su Sistemi di Gestione per la Sicurezza delle Informazioni secondo la norma internazionale UNI CEI ISO/IEC 27001:2013. La ISO27001 definisce i requisiti per progettare, implementare, mantenere e migliorare un SGSI, ovvero per perseguire la Riservatezza, l’Integrità e la Disponibilità delle informazioni aziendali.
Forum ICT Security 2017 - Threat management, la vulnerabilità delle risorse u...Par-Tec S.p.A.
Il TechAdvisor Fabrizio Pisasale fornisce una panoramica delle minacce rivolte agli utenti e le contromisure applicabili, tra cui la formazione preventiva e gli strumenti tecnologici volti a mitigare l’impatto del classico errore umano.
I punti trattati durante la presentazione sono:
- Cronache di guerra dal 2016
- I 10 attacchi più rappresentativi
- Come difendersi?
- Alla base della sicurezza: la compliance
- La formazione secondo Par-Tec
- Non scordiamoci della tecnologia
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/threat-management-la-vulnerabilita-delle-risorse-umane
Meeting with the sponsors (Nov 25th, 2016) - statusEuroPrivacy
Descriptions to the sponsors and contributors of the first year activity of our collective blog and connected initiatives related to the adoption of the new General Data Protection Regulation
Meeting with the sponsors (Nov 25th, 2016) - planEuroPrivacy
Discussion with the sponsors and contributors of the plan and next activities of our collective blog and connected initiatives related to the adoption of the new General Data Protection Regulation
Anche le aziende di piccola o media dimensione devono quotidianamente confrontarsi con un grande numero di documenti che devono essere archiviati, recuperati e condivisi durante lo svolgimento della propria attività. La gestione elettronica dei documenti offre alle organizzazioni un’ampia varietà di benefici, alcuni quantificabili in modo tangibile ed altri, invece, di natura intangibile. La somma dei benefici determina per l’azienda la possibilità di perseguire al meglio il proprio business. Una volta condivisi il significato e la validità dei benefici che un sistema di gestione documentale può apportare all’azienda, occorre quindi intraprendere un corretto percorso di valutazione della scelta migliore per le proprie esigenze presenti e future.
Paziente 2.0 - Sanità Digitale e MarketingI-Tel Srl
Quali sono i trend dell'Innovazione tecnologica in Sanità?
Il documento, a cura di Bellio, Buccoliero, Mazzola, Solinas - CERMES BOCCONI, è estratto dal N.3/2015 dei "Quaderni dell'Osservatorio e-Health e-Sanit@" ed offre un'accurata analisi dei nuovi scenari relativi all'interazione Paziente-Sanità in ottica di empowerment del cittadino.
Forum ICT Security 2018 - Il GDPR applicato al settore del retail: il caso di...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti e Luca Pittarello, E-Commerce Manager dell’omonima azienda, hanno illustrato gli obiettivi, l’approccio adottato ed i primi risultati del progetto di adeguamento al GDPR in corso.
I punti trattati durante la presentazione sono:
- Il Progetto
- La compliance come opportunità di sviluppo
- I pilastri dell’adeguamento al GDPR:
- La consulenza normativa e organizzativa
- L’applicazione di contromisure tecnologiche
- La formazione del personale
- L’offerta Par-Tec dedicata al GDPR e all’Educational
Per saperne di più, scaricate le slide e guardate il video della presentazione ripreso in occasione del Forum ICT Security 2018 su https://www.par-tec.it/il-gdpr-applicato-al-settore-del-retail-il-caso-di-pittarello
Gdg 2019 artificial intelligence, sviluppo web... le nuove regole del giocoDaniele Mondello
Dev Fest Mediterranean Le normative nelle nuove tecnologie. Come cambia lo scenario con le regole AGID. Le sfide dell'intelligenza artificiale. Il software come dispositivo medico.
PA digitale: a che punto siamo? Mercato e PA a confronto
Dopo il successo dell'appuntamento tenutosi lo scorso 13 ottobre, ANORC Professioni, con il Patrocinio di AIFAG, ha organizzato il 9 febbraio 2017 a Roma (Auditorium sede centrale dell’INAIL - P.le Pastore, 6) un secondo incontro per PA e mercato anche alla luce delle recenti modifiche del Codice dell'Amministrazione Digitale, apportate dal D. Lgs. n. 179/2016.
Durante la giornata si è tenuto il confronto tra importanti amministrazioni centrali e i referenti del mercato IT, che si occupano di conservazione digitale e firme elettroniche, su:
modelli di governance adeguati a sostenere questo cambiamento
definizione dell'organigramma delle competenze necessarie e livelli di professionalità indispensabili a costituire i team di trasformazione digitale
clausole contrattuali più opportune per definire al meglio le reciproche responsabilità
verifica della questione grave, delicata e intricata della certificazione dei conservatori accreditati
L'evento è stato patrocinato da AgID (Agenzia per l'Italia digitale) e dal Garante per la protezione dei dati personali.
CCI2017 - GDPR dalla Teoria alla Pratica con Microsoft Azure - Silvio Di Bene...walk2talk srl
Da maggio 2018, il GDPR sarà attuabile e quindi sanzionabile per tutte le aziende che non sono compliant a quanto richiede la normativa.
Microsoft Operations Management Suite è la soluzione cloud che permette di collezionare i dati in modo centralizzato e sicuro, in modo da poterli analizzare in modo dettagliato. Durante questa sessione andremo a vedere come funziona la componente di Log Analytics e come analizzare i log dei network device, Windows Logon, Office 365 ma anche di software di terze parti.
Questo documento descrive nel dettaglio le 40 competenze definite nel modello e-CF (European Competence Framework) utili a definire l'insieme di abilità e di "saper fare" di ognuna delle figure professionali del modello stesso.
Le competenze sono suddivise in 5 macro aree (Plan, Build, Run, Enable e Manage) e per ognuna è prevista una descrizione sintetica ed uno o più livelli di autonomia.
La combinazione delle diverse competenze e dei livelli di autonomia di ciascuna di esse contribuiscono a definire le 23 figure professionali del modello e-CF, che costituisce un quadro di riferimento a livello europeo per la definizione ed interpretazione delle diverse figure professionali.
Cos’è un Security Operations Center? Quali sono i requisiti e le best practices per attuare un SOC? Sono gli argomenti trattati in questa presentazione.
Il Security Operations Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi legate all'infrastruttura IT. Oggi chi si occupa dell' analisi dei Log si trova ogni giorno a combattere con una quantità spropositata di record e individuare un evento è come cercare un ago in un pagliaio. Utile sono i SIEM (security information and event management) che hanno il compito di raccogliere, memorizzare, analizzare e rendere disponibile in forma di report i dati provenienti dai log per esigenze di incident response, di compliance in ambito regolatorio o per attività di analisi forense.
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
Security Logic nasce dalla fusione di circa 30 anni di esperienza e passione del suo management nei settori delle tecnologie informatiche e delle soluzioni assicurative. L'unione di questi due mondi ha dato vita a un portafoglio di offerta unico nel suo genere che unisce l'aspetto della protezione IT e della gestione dei documenti di conformità alla garanzia assicurativa rispetto ai possibili danni economici che un cyber attack puo' causare all'azienda e ai propri clienti e fornitori.
"Applicazioni basate sul modello di competenze e-cf per l’evoluzione dei sistemi professionali delle Società ICT" - Francesco Zaccaro, Responsabile Ufficio Valorizzazione del Capitale Umano - Fiera del Levante - 12 Settembre 2018
“Cloud e dati aziendali, gli impatti sulla privacy".
Come posso proteggere i dati nel cloud? E’ possibile verificarne costantemente l’utilizzo, senza infrangere la normativa privacy? Ma sono davvero sicuri i miei dati nel Cloud? Se non ci ho pensato prima, come posso implementare un controllo a posteriori? Sto già usando inconsapevolmente servizi cloud?
Presentazione a supporto dell'intervento di Tiziana Sicilia, Membro UNI/CT 006/GL 06 “Figure professionali operanti nell’ambito della comunicazione” al webinar "UNI 11483:2021
LA NUOVA EDIZIONE DELLA NORMA SUL COMUNICATORE PROFESSIONALE" del 30 settembre 2021
La piattaforma GDPR Torino Wireless by PrivacyLab - Andrea Chiozzi, Comitato ...
Il dpo e gli schemi di certificazione dei trattamenti
1. Il DPO e gli schemi di certificazione dei trattamenti
AUTORE
Fabio Guasconi
EUROPRIVACY.INFO
@EUROPRIVACY
Gennaio 2017
2. Autore
Fabio GUASCONI
Direttivo CLUSIT
Direttivo UNINFO
Presidente del CT 510 Sicurezza Informatica UNINFO
CISA, CISM, PCI-QSA, ITIL, ISFS,
Lead Auditor 27001 & 9001
Partner e co-founder BL4CKSWAN S.r.l.
3. Certificazione dei profili professionali
Schemi e-CF ed EQF
Profili professionali per trattamento e protezione dei dati personali
Considerazioni sulla figura del DPO
Profilo del DPO
Profilo del Manager Privacy
Percorso di certificazione
Meccanismi di certificazione richiamati nel Regolamento
Requisiti del Regolamento
Panoramica del mercato
Possibili strade future
Agenda
4. 2004-2008
Il Quadro europeo delle qualifiche e dei titoli per l'apprendimento permanente (EQF) è uno
schema di riferimento per “tradurre” quadri di qualifiche e livelli di apprendimento dei diversi
Paesi europei.
2006-2008
Il framework per le e-Competence (e-CF) è nato come prima applicazione dell'EQF per i
professionisti operanti nell'ICT di ogni organizzazione.
e-CF versione 1.0 (2008)
e-CF versione 2.0 (2010)
e-CF versione 3.0 (2014)
Schemi e-CF ed EQF
5. Schemi e-CF ed EQF
Definizione sintetica
Missione
Risultati attesi
• (RACI)
Compiti principali
e-Competence
• Livello
Abilità
Conoscenze
KPI
6. Schemi e-CF ed EQF
Lo schema EQF non è strutturato con un
catalogo di competenze, abilità e
conoscenze specifiche, ma ne definisce le
caratteristiche per livello, legandolo a uno
schema di riferimento di base.
EQF Level 8 Dottorato di Ricerca
Istruzione
universitaria
EQF Level 7 Laurea Magistrale
EQF Level 6 Laurea
EQF Level 5 Diploma di tecnico superiore
Istruzione
secondaria
EQF Level 4 Diploma professionale
EQF Level 3 Attestato di qualifica di operatore professionale
EQF Level 2
Certificato delle competenze di base acquisite in esito
all’assolvimento dell’obbligo di istruzione
Istruzione
primaria
EQF Level 1 Diploma di licenza conclusiva del primo ciclo di istruzione
8. Profili professionali per trattamento e protezione dei dati personali
e-CF Framework v. 3.0
Competenze informatiche / non informatiche
Elementi di creazione
del GdL
e-Competence (40)
Conoscenze (m)
Aree e-Competence (5)
Competenze
Livelli (5)
Dim. 1
Dim. 2
Dim. 3
Dim. 4 Abilità (n) ConoscenzeAbilità
10. Considerazioni sulla figura del DPO
Figura professionale attualmente non regolamentata dalle leggi italiane.
Non sarà designato secondo criteri vincolanti (PA, large scale of monitoring / special
categories data)
Molti Titolari lo nomineranno per sgravarsi di responsabilità
Potrà essere un soggetto terzo
Non esiste un Ordine Professionale specifico a garanzia della qualità delle attività svolte
dal singolo professionista
Sul mercato fioriscono attualmente corsi, master, percorsi e certificazioni in materia, che
sono però slegate da ogni schema riconosciuto di certificazione del personale
Vi saranno nomine a DPO per soggetti molto diversi tra loro per collocazione aziendale
e competenze
11. Considerazioni sulla figura del DPO
Il DPO ("responsabile della protezione dei dati" nella versione italiana) è definito dagli art.
37, 38, 39 del Regolamento UE 2016/679.
Capo IV Titolare del
trattamento e
responsabile del
trattamento
Sezione 4
Responsabile della
protezione dei dati
Articolo 37
Designazione del
responsabile della
protezione dei dati
Articolo 38
Posizione del
responsabile della
protezione dei dati
Articolo 39
Compiti del
responsabile della
protezione dei dati
12. Considerazioni sulla figura del DPO
Il WP 29 ha pubblicato in dicembre 2016 delle "Guidelines on Data Protection Officers" che
entrano ulteriormente in dettaglio circa quanto esplicitato negli articoli precedenti, fornendo
anche esempi di applicazione.
Per quanto riguarda le competenze del DPO, i punti cardine sono:
1) The required level of expertise is not strictly defined but it must be commensurate with the
sensitivity, complexity and amount of data an organisation processes
2) DPOs should have expertise in national and European data protection laws and practices and an
in-depth understanding of the GDPR
3) Knowledge of the business sector and of the organisation of the controller is useful. The DPO
should also have sufficient understanding of the processing operations carried out, as well as the
information systems, and data security and data protection needs of the controller.
13. Profilo del DPO
E' stato allineato esattamente con quanto richiesto dal Regolamento in termini di task e deliverables
E' possibile aggiungervi alcuni o anche tutti compiti assegnati al profilo del Manager Privacy
MISSIONE
Fornisce al titolare/responsabile del trattamento il supporto indispensabile ad assicurare l’osservanza del
Regolamento UE 2016/679.
COMPETENZE
E-CF 3.0 Livello
A.4. Pianificazione di Prodotto o di Servizio 3
D.1. Sviluppo della Strategia per la Sicurezza Informatica 4
D.8. Gestione del Contratto 3
D.9. Sviluppo del Personale 3
E.3. Gestione del Rischio 4
E.4. Gestione delle Relazioni 4
E.8. Gestione della Sicurezza dell’Informazione 3
E.9. Governance dei sistemi informativi 4
14. Profilo del Manager Privacy
E' coerente rispetto alle figure di più alta responsabilità che già oggi si occupano di protezione dei
dati personali
MISSIONE
Coordina trasversalmente i soggetti coinvolti nel trattamento dei dati personali, al fine di garantire il rispetto delle
norme di legge applicabili e il raggiungimento nonché il mantenimento del livello di protezione adeguato in base
allo specifico trattamento di dati personali effettuato, coordinando trasversalmente i soggetti in essi coinvolti.
COMPETENZE
E-CF 3.0 Livello
A.4. Pianificazione di Prodotto o di Servizio 3
C.1. Assistenza all’Utente 3
A.5. Progettazione di Architetture 4
D.1. Sviluppo della Strategia per la Sicurezza Informatica 4
D.8. Gestione del Contratto 3
D.9. Sviluppo del Personale 3
D.10. Gestione dell’Informazione e della Conoscenza 5
E.3. Gestione del Rischio 4
E.8. Gestione della Sicurezza dell’Informazione 3
E.9. Governance dei Sistemi Informativi 4
15. Percorso di certificazione
Mantenimento e rinnovo
Valutazione delle competenze e certificazione delle competenze
Apprendimento informale (esperienza lavorativa)
Apprendimento non formale (formazione professionale)
Apprendimento formale (istruzione)
Requisitiminimidiaccesso
16. Requisiti del regolamento
A cosa serve la certificazione?
Art. 24 Responsabilità del titolare del trattamento, 3) L'adesione ai codici di condotta di
cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come
elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.
Art. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione
predefinita, 3) Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere
utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente
articolo.
Art. 28 Responsabile del trattamento, 5) L'adesione da parte del responsabile del
trattamento a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di
certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare le
garanzie sufficienti di cui ai paragrafi 1 e 4 del presente articolo.
Art. 32 Sicurezza del trattamento, 3) L'adesione a un codice di condotta approvato di cui
all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata
come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
... ed è anche inclusa tra i criteri da valutare per determinare le sanzioni ...
18. Label CNIL
~ 30 certificazioni
est. 2011, Francia
Prodotti e servizi
ePrivacyseal
~ 20 certificazioni
est. 2011, Germania
Prodotti e servizi
Privacy Mark
~ 20.000 certificazioni
est. 1998, Giappone
PMS
EuroPriSe
~ 60 certificazioni
est. 2008, Germania
PMS
Panoramica del mercato
Leader di mercato come veri "privacy seals"
19. Panoramica del mercato
Forti difficoltà relative a:
Difficoltà di comprensione di cosa si sta certificando
Mancanza di trasparenza degli schemi
Astrattezza delle garanzie fornite
Mancanza di riconoscimento del valore aggiunto lato utente finale
Eterogeneità dell'offerta e non impiego di elementi comuni
Frammentazione del mercato e degli stessi enti di normazione (v. CEN)
Paura di usare schemi che domani non saranno più validi
... in sintesi il mercato non è maturo
20. Possibili strade future
Articolo 43 comma 1 punto a) Articolo 43 comma 1 punto b)
ISO/IEC 17065
Accreditamento
Accredia
Accreditamento
Garante
Schema definito o
ripreso dal Garante
Requisiti aggiuntivi
Garante
Secondo Articolo 43 "uno o entrambi"
21. Possibili strade future
L'aspetto più interessante è che queste strade non sono esclusive tra loro ...
potrebbero crearsi scenari misti o che si sovrappongono nel tempo coesistendo e rendendo
ancora più complessa l'adozione da parte del mercato.
1)1) Proliferazione di
schemi proprietari /
nazionali
• ISDPC 10003:2015
di Pharmasoft
2) Imposizione di
uno schema
centralizzato
europeo
• Comitato
• Commissione
3) Adozione di uno
schema
internazionale
• ISO/IEC 27552