Seminario tenuto presso l'Ordine degli Ingegneri di Macerata finalizzato a presentare un'introduzione al nuovo framework europeo sulla protezione dei dati e privacy.
Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazi...Andrea Praitano
Seminario introduttivo tenuto presso l'Ordine degli ingegneri di Macerata relativo alle Misure Minime AgID per la Pubblica Amministrazione, come queste sono state redatte e come si possono andare ad applicare. Inoltre è stata presentata una possibile correlazione con il nuovo framework sulla protezione dei dati (GDPR) e con la Direttiva NIS
Le misure minime di sicurezza AgID e come questi si intrecciano all’applicazi...Andrea Praitano
Seminario introduttivo tenuto presso l'Ordine degli ingegneri di Macerata relativo alle Misure Minime AgID per la Pubblica Amministrazione, come queste sono state redatte e come si possono andare ad applicare. Inoltre è stata presentata una possibile correlazione con il nuovo framework sulla protezione dei dati (GDPR) e con la Direttiva NIS
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
Carrellata delle nuove iniziative del SC27 in materia di protezione dei dati personali. Dalla 29100 alla 24760 passando per i Privacy Impact Assessment.
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Data breach nelle aziende e pubbliche amministrazioni; responsabilità e impatti organizzativi alla luce del nuovo regolamento europeo in materia di protezione dei dati personali: casi concreti
Smau 25 ottobre 2016 alle ore 10,30 Centro Studi di Informatica Giuridica di Ivrea Torino
cod. 37026 – Il Data protection officer, compiti,responsabilità buone prassi nelle imprese e pubbliche amministrazioni.
Relatori: Avv. Mauro Alovisio e Dott. Stefano Gorla
Il seminario illustra gli impatti e la road map delle azioni richieste dal regolamento in materia di protezione dei dati alle pubbliche amministrazioni e imprese attraverso un focus sulla nuova figura del Data Protection Officer, presentazioni di best practice con un taglio operativo e multidisciplinare nell’ottica di sviluppare business.
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
In occasione del MySQL Day 2018 di Roma il TechAdvisor Michelangelo Uberti ha fornito una panoramica delle contromisure tecnologiche a protezione del dato.
I punti trattati durante la presentazione sono:
- Presentazione dell’offerta Par-Tec dedicata a MySQL Enterprise Edition
- Le misure da adottare per essere compliant al GDPR
- La formazione ed i corsi Par-Tec Educational
- Le tecnologie a difesa del dato
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/il-gdpr-e-le-tecnologie-a-protezione-dei-dati-personali
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
Questa presentazione descrive gli schemi di certificazione (aziendali) e la figura del DPO nell'ambito della legge 679/2016 (GDPR) nel contesto degli schemi e-CF e EQF. Relaziona anche in merito al lavoro UNI / UNINFO per la legge 4.2013 (Disposizioni in materia di professioni non organizzate)
Il diritto di tenere segreti i propri dati personali, in particolare quelli “sensibili” che riguardano le condizioni di salute e la vita privata delle persone, è sempre più sentito da parte di tutti.
Per questo motivo è stata varata la legge 675/1996 ed è stata istituita l’Autorità Garante per la protezione dei dati personali (art.30 legge 675/96).
Abstract da:
Raimondo Villano, “La gestione della sicurezza in Farmacia”, Prefazione, con presentazione del Dr. Piero Renzulli, già Consulente per la Sicurezza presso le Nazioni Unite (Small Business, Longobardi Ed., pag. 222, aprile 2004 - presentata al Congresso Nazionale della Federazione Nazionale dei Farmacisti Italiani da “Cutolo & Vartuli” nel maggio 2004; Standard Edition, Led Web International Editore, pag. 264, Torino, ottobre 2004).
Data protection, prima lettura del regolamento europeo per la protezione dei dati (GDPR). Azioni da intraprendere, cosa cambia e cosa si può fare per essere conformi alla scadenza prevista
Il Codice della Privacy: stato dell’arte dopo l’ultima prorogaMassimo Farina
Il 31 marzo 2006 è scaduto il termine previsto per l’adeguamento totale al Codice della Privacy (d.lgs. 196/03). La scadenza suddetta ha spinto tutti i destinatari verso l’adeguamento, che in molti casi è stato frettoloso ed approssimativo. Il seminario è diretto ad illustrare i punti critici degli adempimenti privacy sui quali, ancora, regna la confusione.
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...Digital Law Communication
Materiali relativi al seminario“Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016”organizzato dall’Associazione LAICA Salento con la collaborazione del Digital & Law Department.
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
L'imminente entrata in vigore della GDPR e la recente evoluzione degli attacchi di tipo ransomware come WannaCry sono due argomenti che destano preoccupazione a tutte le aziende e tolgono il sonno ai responsabili IT. La buona notizia è che possiamo affrontare entrambi con maggiore serenità sfruttando le nuove funzionalità di Netwrix Auditor 9.0, una piattaforma di visibilità e governance che consente di individuare e combattere tempestivamente un'infezione ransomware ed allo stesso tempo permette di adeguarsi alla nuova GDPR nei tempi previsti.
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 Andrea Cortellazzo
Che cos’è il cyber risk e quali sono i diversi possibili fronti di minaccia per un’azienda o un ente? Cosa implica oggi, concretamente, esserne esposti? E ancora, in che misura le imprese, a partire da quelle del nostro territorio, sono consapevoli dei potenziali danni e pronte nella prevenzione e gestione del rischio?
Privacy e sicurezza informatica secondo i nuovi standard ISO IECFabio Guasconi
Carrellata delle nuove iniziative del SC27 in materia di protezione dei dati personali. Dalla 29100 alla 24760 passando per i Privacy Impact Assessment.
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Data breach nelle aziende e pubbliche amministrazioni; responsabilità e impatti organizzativi alla luce del nuovo regolamento europeo in materia di protezione dei dati personali: casi concreti
Smau 25 ottobre 2016 alle ore 10,30 Centro Studi di Informatica Giuridica di Ivrea Torino
cod. 37026 – Il Data protection officer, compiti,responsabilità buone prassi nelle imprese e pubbliche amministrazioni.
Relatori: Avv. Mauro Alovisio e Dott. Stefano Gorla
Il seminario illustra gli impatti e la road map delle azioni richieste dal regolamento in materia di protezione dei dati alle pubbliche amministrazioni e imprese attraverso un focus sulla nuova figura del Data Protection Officer, presentazioni di best practice con un taglio operativo e multidisciplinare nell’ottica di sviluppare business.
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
In occasione del MySQL Day 2018 di Roma il TechAdvisor Michelangelo Uberti ha fornito una panoramica delle contromisure tecnologiche a protezione del dato.
I punti trattati durante la presentazione sono:
- Presentazione dell’offerta Par-Tec dedicata a MySQL Enterprise Edition
- Le misure da adottare per essere compliant al GDPR
- La formazione ed i corsi Par-Tec Educational
- Le tecnologie a difesa del dato
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/il-gdpr-e-le-tecnologie-a-protezione-dei-dati-personali
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
Questa presentazione descrive gli schemi di certificazione (aziendali) e la figura del DPO nell'ambito della legge 679/2016 (GDPR) nel contesto degli schemi e-CF e EQF. Relaziona anche in merito al lavoro UNI / UNINFO per la legge 4.2013 (Disposizioni in materia di professioni non organizzate)
Il diritto di tenere segreti i propri dati personali, in particolare quelli “sensibili” che riguardano le condizioni di salute e la vita privata delle persone, è sempre più sentito da parte di tutti.
Per questo motivo è stata varata la legge 675/1996 ed è stata istituita l’Autorità Garante per la protezione dei dati personali (art.30 legge 675/96).
Abstract da:
Raimondo Villano, “La gestione della sicurezza in Farmacia”, Prefazione, con presentazione del Dr. Piero Renzulli, già Consulente per la Sicurezza presso le Nazioni Unite (Small Business, Longobardi Ed., pag. 222, aprile 2004 - presentata al Congresso Nazionale della Federazione Nazionale dei Farmacisti Italiani da “Cutolo & Vartuli” nel maggio 2004; Standard Edition, Led Web International Editore, pag. 264, Torino, ottobre 2004).
Data protection, prima lettura del regolamento europeo per la protezione dei dati (GDPR). Azioni da intraprendere, cosa cambia e cosa si può fare per essere conformi alla scadenza prevista
Il Codice della Privacy: stato dell’arte dopo l’ultima prorogaMassimo Farina
Il 31 marzo 2006 è scaduto il termine previsto per l’adeguamento totale al Codice della Privacy (d.lgs. 196/03). La scadenza suddetta ha spinto tutti i destinatari verso l’adeguamento, che in molti casi è stato frettoloso ed approssimativo. Il seminario è diretto ad illustrare i punti critici degli adempimenti privacy sui quali, ancora, regna la confusione.
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/...Digital Law Communication
Materiali relativi al seminario“Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016”organizzato dall’Associazione LAICA Salento con la collaborazione del Digital & Law Department.
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
L'imminente entrata in vigore della GDPR e la recente evoluzione degli attacchi di tipo ransomware come WannaCry sono due argomenti che destano preoccupazione a tutte le aziende e tolgono il sonno ai responsabili IT. La buona notizia è che possiamo affrontare entrambi con maggiore serenità sfruttando le nuove funzionalità di Netwrix Auditor 9.0, una piattaforma di visibilità e governance che consente di individuare e combattere tempestivamente un'infezione ransomware ed allo stesso tempo permette di adeguarsi alla nuova GDPR nei tempi previsti.
Cyber Risk e Data Protection C&S Aon Rhea _Padova 21.11.2017 Andrea Cortellazzo
Che cos’è il cyber risk e quali sono i diversi possibili fronti di minaccia per un’azienda o un ente? Cosa implica oggi, concretamente, esserne esposti? E ancora, in che misura le imprese, a partire da quelle del nostro territorio, sono consapevoli dei potenziali danni e pronte nella prevenzione e gestione del rischio?
IL REGOLAMENTO UE 2016/679 APPLICATO ALLA REALTÀ NAZIONALEStefano Ramacciotti
L'evento ha lo scopo di offrire un quadro aggiornato sul GDPR: norme, cyber risk, attacchi informatici e strategie di sicurezza alla luce del GDPR e del decreto di adeguamento nazionale
Conferenza Nazionale NIS e GDPR - Tor Vergatauninfoit
Mie slide dell'intevento all'interno della Tavola rotonda “Associazioni di settore e Ordini professionali: competenze, piani di formazione, certificazioni”
Proteggere i dati significa evitare che il patrimonio informativo di un'azienda venga perso. Occorre evitare che un attacco passivo o attivo possa compromettere l'integrità dei dati. Una metodologia di difesa consiste nell'effettuare una risk analysis per valutare le minacce e le vulnerabilità. Successivamente, occorre intraprendere le opportune contromisure per ridurre il rischio di incidente.
https://www.vincenzocalabro.it
GDPR Navigator - La soluzione per PMI e Consulenti PrivacyRoberto Lorenzetti
Tutta l’esperienza e il supporto legale di uno studio di avvocati condensata in una semplice soluzione Cloud
Modulo di Autovalutazione interattivo e completo
Checklist per navigare sereni verso la compliance
Gestione del Registro di Attività di trattamento (titolari/responsabili)
Generazione del documento DPIA ( Data Protection Impact Assessment)
Generazione ragionata delle Note Informative e Modulo Consenso
Documento di stima alla compliance GDPR e raffronti statistici
BTO 2016 | Day TWO | Giovedì 1° dicembre
#5 Focus Hall
Regolamento Europeo Privacy e Facebook. Come fare attività di marketing sui social
http://www.buytourismonline.com
http://www.buytourismonline.com/eventi/regolamento-europeo-privacy/
Keynote Speaker
Monica Gobbato Avvocato
Aspetti legali sui social network
Similar to Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (2017-12-15) (20)
How to protect the common heritage sites with limited impact in the surveillance? A dynamic and not invasive surveillance system through the use of drones and other tools from military knowledge.
2017 07-10 - proposta di regolamento e privacy v2Andrea Praitano
Presentazione tenuta presso il seminario di ISAC Roma relativa alla proposta di Regolamento ePrivacy che andrà a sostituire la Direttiva 2002/58/EC e relativa ai servizi over the top.
Intervento tenuto insieme a Luigi Buglione e Maxime Sottini alla conferenza annuale di itSMF Italia del 2011 relativo alle novità della revisione di ITIL.
Intervento relativo alla fase di Continual Service Improvement tenuto all'interno del tutorial organizzato da itSMF Italia relativo alla nuova versione di ITIL (26/11/2011)
Impatto dell’utilizzo dei droni sulla sicurezza e sulla privacyAndrea Praitano
Presentazione tenuta presso il Forum ICT Security 2015 (16/10/2015) relativo alla tematica sicurezza, penetration testing e violazioni della privacy attraverso l'utilizzo di droni.
Problem Management proattivo di sicurezza secondo ITIL: attività di Ethical H...Andrea Praitano
Presentazione tenuta presso il Security Summit del 2011 e relativa all'inquadramento delle attività di Etical Hacking come problem management proattivo.
L’utilizzo crescente dei droni, che implicazioni sulla privacyAndrea Praitano
Presentazione tenuta al TECHNOLOGY for ALL 2015 nell'ambito della sessione La sicurezza delle informazioni nell’era dello “Urban Cyber Space” per conto della Commissione Sicurezza Informatica dell'Ordine degli Ingegneri di Roma
L’utilizzo crescente dei droni, che implicazioni sulla privacy
Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (2017-12-15)
1. IL NUOVO QUADRO
NORMATIVO EUROPEO PER
LA PROTEZIONE DEI DATI
Ing. Andrea Praitano
MACERATA 15 DICEMBRE 2017
15/12/2017
Il nuovo quadro normativo Europeo per la protezione
dei dati - (c) Andrea Praitano - vietato l'uso
1
2. ANDREA PRAITANO, CHI SONO?
Lieutenant on
leave
Member of the
Board
ANDREA PRAITANO
MA ANCHE …..
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso
2
4. Premessa al corso 15/12/2017
Il nuovo quadro normativo Europeo per la protezione
dei dati - (c) Andrea Praitano - vietato l'uso
4
5. IL REGOLAMENTO (UE) 2016/679 NON PARLA DI “PRIVACY” ….PARLA DI
“PROTEZIONE DEI DATI”
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso5
6. Protezione dei dati personali e … 15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso6
7. QUALCHE DEFINIZIONE (1/3)
Termine Definizione
Protezione
dei dati
È quella disciplina dedita alla protezione dei dati personali, dati sensibili e dati giudiziari in termini
di disponibilità, autenticità, integrità e riservatezza dei dati personali conservati o trasmessi e la
sicurezza dei relativi servizi offerti
Privacy La privacy termine inglese equivalente a riservatezza o privatezza, è appunto il diritto alla
riservatezza della propria vita privata
[Fonte: Wikipedia]
(privacy non può essere considerato sinonimo della protezione dei dati come richiesto dalla normativa)
Sicurezza
delle
informazioni
2.33 sicurezza delle informazioni: preservazione di riservatezza, integrità e disponibilità
dell’informazione
Note 1 to entry: In addition, other properties, such as authenticity (2.8), accountability, non-
repudiation (2.54), and reliability (2.62) can also be involved.
[Fonte ISO/IEC 27000:2014]
Cybersecurity Preservazione di riservatezza, integrità e disponibilità dell’informazione nel Cyberspace
[Fonte ISO/IEC 27032:2012]
Cyberspace: “the complex environment resulting from the interaction of people, software and services on the Internet by means of technology
devices and networks connected to it, which does not exist in any physical form”
………..
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso7
10. Lesson
#1
La protezione dei dati (comunemente nota anche come privacy), la sicurezza delle
informazioni, la sicurezza informatica e la cybersecurity non sono cose diverse fra di loro ma
parte di una stessa «famiglia», quindi possono essere affrontate insieme o, comunque, con
le stesse tecniche e conoscenze.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso10
11. FAMIGLIA ISO/IEC 270XX
27001:2013
ISMS requirements
27002
Code of practice
27003
Implementation
guidance
27004
Measurements
27005
Risk Management
27006:2011
Requirements for
audit & cert. bodies
27011
Telecommunications
Requisiti Linee Guida Di Settore
27000
Vocabulary
27008
Guidelines for Auditors
27007
Guidelines ISMS auditing
27010
Inter-sector
communications
27013
Integrate ISO/IEC 20000
and ISO/IEC 27001
27014
Governance of
information security
27015
ISM guidelines
for financial services
27016
ISM Organisational
Economics
270xx
……
27018
Personally Identifiable Inf.
(PII) in public clouds
27017
Code of practice
for cloud services
27019
ISM guidelines for
energy utility industry
27799
ISM in health
using ISO/IEC 27002
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso11
12. L’ELENCO DELLE NORME DELLA FAMIGLIA ISO 2700X
ISO/IEC 27000 overview & glossary
ISO/IEC 27001 formal ISMS specification
ISO/IEC 27002 infosec controls
ISO/IEC 27003 ISMS implementation guide
ISO/IEC 27004 infosec metrics 2nd edition
published Dec 2016
ISO/IEC 27005 infosec risk management
ISO/IEC 27006 ISMS certification guide
ISO/IEC 27007 mgmt system auditing
ISO/IEC TR 27008 security auditing
ISO/IEC 27009 sector variants of ISO27k
ISO/IEC 27010 for inter-org comms
ISO/IEC 27011 ISO27k in telecoms 2nd edition
published Dec 2016
ISO/IEC 27013 ISMS & ITIL/service mgmt
ISO/IEC 27014 infosec governance
ISO/IEC TR 27015 ISO27k in financial services
ISO/IEC TR 27016 infosec economics
ISO/IEC 27017 cloud security controls
ISO/IEC 27018 cloud privacy
ISO/IEC TR 27019 process control in energy
ISO/IEC 27031 ICT business continuity
ISO/IEC 27032 cybersecurity
ISO/IEC 27033-1...6 network security
ISO/IEC 27034-1, 2 & 6 application security
ISO/IEC 27035-1 & 2 incident management Part 2
published end 2016
ISO/IEC 27036-1...4 ICT supply chain & cloud
ISO/IEC 27037 digital evidence [eForensics]
ISO/IEC 27038 document redaction
ISO/IEC 27039 intrusion prevention
ISO/IEC 27040 storage security
ISO/IEC 27041 investigation assurance
ISO/IEC 27042 analyzing digital evidence
ISO/IEC 27043 incident investigation
ISO/IEC 27050-1 eForensics Part 1 published end 2016
ISO 27799 ISO27k in the health industry 2016 version
out now
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso12
13. LE NORME PIÙ IMPORTANTI DELLA FAMIGLIA
ISO/IEC 27000:2016 -
Overview and vocabulary
ISO/IEC 27005:2011 -
Information security risk
management
ISO/IEC 27031:2011 -
Guidelines for information and
communications technology
readiness for BC
ISO/IEC 27035:2016 – IS
incident management
ISO/IEC 27001:2013 -
Requirements
ISO/IEC 27014:2013 -
Governance of information
security
ISO/IEC 27032:2012 -
Guidelines for cybersecurity
ISO/IEC 27036:2013-2016 + -
Information security for
supplier relationships
ISO/IEC 27002:2013 - Code of
practice
ISO/IEC 27017:2015 - Code of
practice for IS controls based
on ISO/IEC 27002 for cloud
services
ISO/IEC 27033:2010+ -
Network security
ISO/IEC 27039:2015 -
Selection, deployment and
operation of intrusion
detection and prevention
systems (IDPS)
ISO/IEC 27003:2010 – ISMS
implementation guidance
ISO/IEC 27018:2014 - Code of
practice for protection of
Personally Identifiable
Information (PII) in public
clouds acting as PII processors
ISO/IEC 27034:2011+ -
Application security
ISO/IEC 27040:2015 - Storage
security
14. Lesson
#2
Non inventiamo l’acqua calda, esiste una vasta conoscenza di buone pratiche sulla
sicurezza delle informazioni, usiamola e prendiamo spunto per la protezione dei dati!
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso14
15. Evoluzione della normativa 15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso15
16. DIRETTIVA 95/46/EC
La Direttiva Europea da cui deriva la normativa privacy attuale è «abbastanza» datata.
Google non c’era (è nato nel 1997)
Yahoo, era poco più che in fasce (è nato nel 1994)
Lo «smartphone» di allora era il Nokia 9000 Communicator che fu
presentato al CeBIT del 1996
L’Internet «veloce» era a 56k
Facebook non era neanche in fasce (lanciato il 4 febbraio 2004)
…e questo era il mio cellulare
di allora
Vi ricordate il 1995?
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso16
18. Lesson
#3
Il mondo evolve rapidamente, le leggi hanno cicli di aggiornamento molto lenti, anche gli
standard (ad es. ISO) hanno cicli non velocissimi (solitamente 5 anni). Le organizzazioni
devono adeguarsi rapidamente alle nuove minacce. Devono essere messi in piedi sistemi di
verifica e miglioramento continuo quelli che le norme ISO chiamano i sistemi di gestione e il
DLgs 196 imponeva come ciclo annuale.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso18
19. Il Regolamento (UE) 2016/679 (GDPR)15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso19
20. DA DOVE NASCE IL DIRITTO ALLA PROTEZIONE DEI DATI
NELLA UE?
Carta dei diritti fondamentali dell’UE
Articolo 1: Dignità umana
Articolo 2: Diritto alla vita
Articolo 3: Diritto all’integrità della persona
Articolo 4: Proibizione della tortura e delle pene o trattamenti inumani o degradanti
Articolo 5: Proibizione della schiavitù e del lavoro forzato
Articolo 6: Diritto alla libertà e alla sicurezza
Articolo 7: Rispetto della vita privata e della vita familiare
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso20
21. CARTA DEI DIRITTI FONDAMENTALI DELL’UE
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso21
22. Regolamento (UE) 2016/679 - General Data Protection Regulation – GDPR
(alcune parti sono da recepire con leggi nazionali)
Direttiva (UE) 2016/680 – Direttiva generale dati giudiziari (ancora da recepire)
Draft del Regolamento ePrivacy (sostituisce la Direttiva 2002/58/CE – Direttiva
generale per il trattamento dei dati personali e per la tutela della vita privata
nel settore delle comunicazioni elettroniche - recepita dal D.Lgs. 196:2003)
Provvedimenti del Garante della protezione dei Dati personali
Complessivamente la
normativa non è, allo
stato attuale, del
tutto chiara.
PROTEZIONE DEI DATI PERSONALI/PRIVACY
Articolo 8 Carta dei diritti fondamentali dell’UE
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso22
23. FRAMEWORK EUROPEO SULLA PRIVACY: NON SOLO GDPR
Articolo 8 Carta dei diritti
fondamentali dell’UE
Regolamento (UE)
2016/679 - GDPR
(sostituisce la Direttiva 95/46/EC)
Direttiva (UE) 2016/680
Direttiva generale dati giudiziari
(ancora da recepire)
Proposta Regolamento
ePrivacy
(sostituisce la Direttiva 2002/58/CE – Direttiva
generale per il trattamento dei dati personali e per
la tutela della vita privata nel settore delle
comunicazioni elettroniche - recepita dal D.Lgs.
196:2003)
Guideline Working Party
29 e Garanti Privacy
……….
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso23
24. Il GDPR abroga la direttiva 95/46/CE da cui deriva la normativa italiana attuale (D.Lgs. 196:2003). Il Codice privacy italiano è il
recepimento anche della Direttiva 2002/58/CE che è in corso di aggiornamento (e sostituzione) da parte del parlamento Europeo.
Quindi le direttive Europee che recepiva decadono, decadendo di conseguenza la normativa italiana.
IL CODICE PRIVACY ITALIANO (D.LGS. 196:2003) NON DECADE
AUTOMATICAMENTE
«LEGGE 25 ottobre 2017, n. 163
Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti
dell'Unione europea - Legge di delegazione europea 2016-2017. (17G00177)
Art. 13 Delega al Governo per l'adeguamento della normativa nazionale alle disposizioni del GDPR
1. Il Governo è delegato ad adottare, entro sei mesi <omissis> uno o più decreti legislativi al fine di
adeguare il quadro normativo nazionale <omissis>
COSA SUCCEDE ALLA NORMATIVA ATTUALE?
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso24
25. Il GDPR abroga la direttiva 95/46/CE da cui deriva la normativa italiana attuale (D.Lgs. 196:2003). Il Codice privacy italiano è il
recepimento anche della Direttiva 2002/58/CE che è in corso di aggiornamento (e sostituzione) da parte del parlamento Europeo.
Quindi le direttive Europee che recepiva decadono, decadendo di conseguenza la normativa italiana.
IL CODICE PRIVACY ITALIANO (D.LGS. 196:2003) NON DECADE
AUTOMATICAMENTE
Nota del Garante della Protezione dei dati:
«Le norme italiane se incompatibili con il nuovo regolamento privacy dell’Unione
europea», ha spiegato Augusta Iannini, vicepresidente Garante Privacy, intervenendo
al convegno organizzato da Unione fiduciaria a Milano ad ottobre del 2016, sul
nuovo regolamento europeo in materia di protezione dei dati personali, «saranno
tacitamente abrogate».
Il problema però diventa qual è l’interpretazione «autentica» dell’incompatibilità?
COSA SUCCEDE ALLA NORMATIVA ATTUALE?
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso25
26. LA NORMATIVE NON È UGUALE IN TUTTA EUROPA
Il framework della protezione dei dati europeo si compone della carta dei diritti dell’Unione uguale per
tutti, di un regolamento uguale per tutti (ma con punti aperti), e due direttive recepite dagli stati
dell’Unione. Quindi di fatto differenze fra le diverse nazioni ci sono anche se molto meno di prima.
Da capire cosa succederà anche con le evoluzione derivanti dai diritti common law e civil law.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso26
27. Lesson
#4
Il nuovo framework della protezione dei dati personali è articolato e complesso. Ci sono
aspetti che si sovrappongono e che potrebbero essere in contrasto fra di loro. La normativa
per la protezione dei dati non è uguale in tutta Europa ma possiamo dire che ha un
battente comune.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso27
28. ARTICOLO 3: AMBITO DI APPLICAZIONE TERRITORIALE
1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle
attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del
trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno
nell'Unione.
2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si
trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del
trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
a. l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente
dall’obbligatorietà di un pagamento dell’interessato; oppure
b. il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo
all’interno dell’Unione.
3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del
trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato
membro in virtù del diritto internazionale pubblico.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso28
29. Lesson
#5
Il nuovo Regolamento si applica a tutte le organizzazioni che gestiscono dati di cittadini
europei. Di fatto anche il Regno Unito anche dopo la futura formalizzazione della Brexit
dovrà applicarlo. Si applica anche quando sono forniti servizi gratuiti (lo si può leggere
come Social Network).
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso29
30. ARTICOLO 4: DEFINIZIONI (1/3)
1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o
identificabile («interessato»); si considera identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, con particolare riferimento a un identificativo
come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo
online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica,
psichica, economica, culturale o sociale;
Come possono dividersi i dati personali?
• Dati personali diretti: come una foto, il nome, la data di nascita o altri dati biometrici;
• Dati personali indiretti: il codice fiscale, l’indirizzo IP o il numero di un cliente che può
essere analizzato per identificare un individuo;
• Dati sensibili: dati che direttamente o indirettamente possono rilevare la religione,
l’etnia, ragioni politiche oppure dati di tipo sanitario o informazioni sulla vita sessuale.
▪ Possono esserci dati classificabili «ultra sensibili» come interruzioni di gravidanze, risultati HIV, ecc.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso30
31. Quali sono i DATI PERSONALI?
Sono tutte le informazioni relative a persone fisiche che consentano
l’identificazione diretta o indiretta di questi stessi soggetti
(art. 4, comma 1, lettere b e c)
DIRETTA
INDIRETTA
• NOME E COGNOME
• CODICE FISCALE
• FOTOGRAFIA
• REGISTRAZIONE VIDEO O SONORA
• CODICE IDENTIFICATIVO
• NUMERO DI MATRICOLA
DATI PERSONALI (DLGS 196/2003 E GDPR)
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso31
32. Quali sono i DATI SENSIBILI?
È considerato dato sensibile qualsiasi informazione (art.
4, comma 1, lettera d) che riveli:
L’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché
tutti i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
▪ Consenso scritto dell’interessato e autorizzazione del Garante
▪ Misure di sicurezza aggiuntive e più forti
Condizioni per il trattamento (non per enti pubblici):
DATI SENSIBILI (DLGS 196/2003 E GDPR)
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso32
33. ▪ Art.3, comma 1, lettere da a) a o) e da r) a u) del D.P.R 313/2002 in
materia di casellario giudiziale,
▪ Anagrafe delle sanzioni amministrative dipendenti da reato e dei
relativi carichi pendenti,
▪ La qualità di imputato o di indagato ai sensi degli artt. 60 e 61 del
codice di procedura penale.
Quali sono i DATI GIUDIZIARI?
Sono una categoria di dati personali, idonei a rivelare i
provvedimenti di cui (art. 4, comma 1, lettera e):
DATI GIUDIZIARI (DLGS 196/2003 E DIRETTIVA 680/2016)
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso33
34. ARTICOLO 4: DEFINIZIONI (2/3)
2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza
l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati
personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la
conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la
comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a
disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la
distruzione;
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso34
35. ARTICOLO 4: DEFINIZIONI (3/3)
7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio
o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i
mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale
trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare
del trattamento o i criteri specifici applicabili alla sua designazione possono essere
stabiliti dal diritto dell’Unione o degli Stati membri;
8) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il
servizio o altro organismo che tratta dati personali per conto del titolare del
trattamento;
11) «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica,
informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio
assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali
che lo riguardano siano oggetto di trattamento;
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso35
37. Lesson
#6
Il ruoli previsti all’interno del nuovo Regolamento non sono così diversi da quelli che
erano previsti precedentemente.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso37
38. I PILASTRI DEL GDPR
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso38
39. Lesson
#7
Il GDPR ha dei principi basilari importanti e che potrebbe essere complesso
implementare all’interno delle organizzazioni.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso39
40. ARTICOLO 25: DATA PROTECTION BY DESIGN E DATA
PROTECTION BY DEFAULT
La norma in italiano li chiama: Protezione dei dati fin dalla progettazione
e protezione per impostazione predefinita
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,
dell’ambito di applicazione, del contesto e delle finalità del trattamento, come
anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle
persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi
del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette
in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione,
volte ad attuare in modo efficace i principi di protezione dei dati, quali la
minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di
soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso40
41. PSEUDONIMIZZAZIONE
• La “pseudonimizzazione” è il processo volto a mascherare l’identità dell’interessato.
L’obiettivo è poter raccogliere dati sulla persona senza conoscerne l’identità. Tale
aspetto è particolarmente pertinente nel contesto della ricerca e della statistica.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso41
42. ARTICOLO 25: DATA PROTECTION BY DESIGN E DATA
PROTECTION BY DEFAULT
2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate
per garantire che siano trattati, per impostazione predefinita, solo i dati
personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale
per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di
conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per
impostazione predefinita, non siano resi accessibili dati personali a un numero
indefinito di persone fisiche senza l’intervento della persona fisica.
3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere
utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai
paragrafi 1 e 2 del presente articolo.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso42
43. 1. Proactive not reactive; Preventative not remedial
2. Privacy as the default setting
3. Privacy embedded into design
4. Full functionality – positive-sum, not zero-sum
5. End-to-end security – full lifecycle protection
6. Visibility and transparency – keep it open
7. Respect for user privacy – keep it user-centric
http://www.privacybydesign.ca/
Information and Privacy Commissioner of
Ontario, Canada
SEVEN PRINCIPLES OF PRIVACY BY DESIGN
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso43
Nota: enunciato nel 1996!
44. 1. Desensibilizzare i
sistemi, gestire solo i dati
personali necessari;
2. Definire i requisiti di
sicurezza in fase iniziale del
progetto (parallelamente
ai requisiti funzionali);
3. Prevedere verifiche di
sicurezza continua in fase di
progettazione e di sviluppo
(Sviluppo e progettazione sicura,
Code review, …);
4. Prevedere test di
sicurezza in parallelo ai
test funzionali (VA, PT);
5. Prevedere audit e test di
sicurezza continui;
DATA PROTECTION BY DESIGN
Opinione
personale!
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso44
45. I dati hanno un valore sul “mercato”, perché complicarsi la vita e
gestire dati non necessari alle funzionalità dei sistemi?
Fonte: Trendmicro
Meno misure di
sicurezza
necessarie!
DESENSIBILIZZARE I SISTEMI, GESTIRE SOLO I DATI
PERSONALI NECESSARI
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso45
46. I requisiti e le funzionalità di sicurezza vanno di pari passo con i
requisiti funzionali e le funzionalità, implementare dopo la sicurezza
costa di più ed è meno efficace!
Misure di sicurezza
pensate per
tempo!
Sviluppo a cascata tradizionale
Funzionali
Infrastrutturali
Sicurezza
Sicurezza
Sviluppo agile
DEFINIRE I REQUISITI DI SICUREZZA IN FASE INIZIALE DEL
PROGETTO
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso46
47. La sicurezza è un processo continuo, bisogna pensare ad uno sviluppo
sicuro!
Misure di sicurezza
pensate per
tempo!
PREVEDERE VERIFICHE DI SICUREZZA CONTINUA IN FASE DI
PROGETTAZIONE E DI SVILUPPO
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso47
48. Gli hacker vedono da un punto di vista differente le cose, la sicurezza
va provata «sul campo»!
Misure di sicurezza
adeguate!
PREVEDERE TEST DI SICUREZZA
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso48
49. NEL DARK WEB TROVATO UN MEGA ARCHIVIO DA 1,4
MILIARDI DI CREDENZIALI, IN CHIARO
http://cybersecurity.startupitalia.eu/56276-20171214-mega-archivio-14-miliardi-credenziali-chiaro
Ci risiamo, un altro enorme archivio di 41 Gigabyte contenente 1,4
miliardi di credenziali in chiaro è stato trovato nel dark web. La
sconcertante scoperta è stata fatta dagli esperti dell’azienda di
sicurezza 4iQ il 5 dicembre.
La password più usata è ancora 123456, seguita da 123456789, qwerty, password e
111111 … che fantasia.
Nota: Ad ottobre 2017 la popolazione mondiale ammonta a circa 7,5 miliardi di persone. (fonte Wikipedia)
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso49
50. Lesson
#8
Il principio del Data Protection by Design del GDPR può essere visto come il prevedere la
sicurezza come parte integrante dei sistemi e non solo come un add-on che, gioco forza,
sarebbe meno efficace. È poi un approccio ciclico che parte dalla progettazione ma
continua per tutta la vita del sistema. Gli attaccanti utilizzano schemi mentali di attacco
completamente differenti da chi gestisce il sistema stesso.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso50
51. DATA PROTECTION BY DEFAULT
Questo principio, a titolo di logica, si compone di due aspetti:
• Trattare il minimo dei dati necessari, cioè desensibilizzare il più possibile i sistemi:
▪ ricordiamoci il principio che la criticità di un sistema dipende dal dato più critico che viene
gestito;
• Prevedere la maggior tutela dell’interessato, cioè di default non sono prevedibili
opzioni poco a favore dell’interessato:
▪ Consenso esplicito e specifico;
▪ Se presenti opzioni di default pre-selezionate devono essere a favore dell’interessato non
dell’organizzazione. Opinione
personale!
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso51
52. Lesson
#9
Il principio del Data Protection by Default si traduce in un desensibilizzare i sistemi il più
possibile, è inutile gestire dei dati che poi non serve aggravando la progettazione e la
gestione dei sistemi stessi. Semplificarsi la vita il più possibile!
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso52
53. ARTICOLO 35: DATA PROTECTION IMPACT ASSESSMENT
(1/2)
1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove
tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può
presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del
trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto
dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione
può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
3. La Data Protection Impact Assessment di cui al paragrafo 1 è richiesta in particolare nei
casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un
trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno
effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o
di dati relativi a condanne penali e a reati di cui all'articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso53
54. ARTICOLO 35: DATA PROTECTION IMPACT ASSESSMENT
(2/2)
7. La valutazione contiene almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento,
compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del
trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle
finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;
e
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza
e i meccanismi per garantire la protezione dei dati personali e dimostrare la
conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi
degli interessati e delle altre persone in questione.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso54
55. DATA PROTECTION IMPACT ASSESSMENT
L’approccio all’implementazione della compliance attraverso la DPIA si basa sul rispetto dei
principi di privacy:
• il rispetto dei principi di legge per la tutela della privacy (specificato, esplicitando e
legittimando lo scopo; informazioni chiare e complete agli interessati; il periodo di
conservazione limitato; il diritto di opposizione, accesso, rettifica e cancellazione, ecc.), al fine
di determinare e giustificare la rilevanza dei controlli destinati a soddisfare questi requisiti;
• gestione dei rischi legati alla sicurezza dei dati personali che hanno un impatto sulla privacy
degli interessati «al fine di» prendere tutte le precauzioni utili, per quanto riguarda la natura
dei dati e dei rischi del trattamento, per preservare la sicurezza dei dati e, in particolare,
evitare la loro alterazione e danni, o l’accesso da parte di terzi non autorizzati. Opinione
personale!
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso55
56. PASSI PER LA DPIA
1. definire e descrivere il contesto del trattamento dei
dati personali in esame e la posta in gioco connessa;
2. identificare i controlli esistenti o previsti (per
soddisfare i requisiti legali e per il trattamento dei
rischi per la privacy proporzionati);
3. valutare i rischi per la privacy per garantire che siano
trattati correttamente;
4. prendere la decisione di convalidare il modo in cui si
prevede di rispettare i principi sulla privacy e il
trattamento dei rischi, o rivedere i passaggi
precedenti.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso56
58. Lesson
#10
Nel GDPR non è più presente l’allegato B con le misure minime, esistono esclusivamente
l’equivalente delle misure idonee che definiva il D.Lgs. 196:2003. Il GDPR ufficializza in
modo insindacabile che l’approccio è basato sull’analisi del rischio e che questo deve
portare all’individuazione delle misure di sicurezza che devono essere messe in piedi
dall’Organizzazione.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso58
59. ARTICOLO 4: DEFINIZIONI
12) «violazione dei dati personali»: la violazione di sicurezza che comporta
accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la
divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o
comunque trattati;
Leggendola bene è una definizione decisamente ampia!
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso59
60. ARTICOLO 33: NOTIFICA DI UNA VIOLAZIONE DEI DATI
PERSONALI ALL’AUTORITÀ DI CONTROLLO (1/3)
1. In caso di violazione dei dati personali, il titolare del trattamento
notifica la violazione all’autorità di controllo competente a norma
dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72
ore dal momento in cui ne è venuto a conoscenza, a meno che sia
improbabile che la violazione dei dati personali presenti un rischio
per i diritti e le libertà delle persone fisiche. Qualora la notifica
all'autorità di controllo non sia effettuata entro 72 ore, è corredata
dei motivi del ritardo.
2. Il responsabile del trattamento informa il titolare del trattamento
senza ingiustificato ritardo dopo essere venuto a conoscenza della
violazione.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso60
61. ARTICOLO 33: NOTIFICA DI UNA VIOLAZIONE DEI DATI
PERSONALI ALL’AUTORITÀ DI CONTROLLO (2/3)
3. La notifica di cui al paragrafo 1 deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove
possibile, le categorie e il numero approssimativo di interessati in
questione nonché le categorie e il numero approssimativo di registrazioni
dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei
dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l’adozione da parte del
titolare del trattamento per porre rimedio alla violazione dei dati personali e
anche, se del caso, per attenuarne i possibili effetti negativi.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso61
62. ARTICOLO 33: NOTIFICA DI UNA VIOLAZIONE DEI DATI
PERSONALI ALL’AUTORITÀ DI CONTROLLO (3/3)
4. Qualora e nella misura in cui non sia possibile fornire le informazioni
contestualmente, le informazioni possono essere fornite in fasi
successive senza ulteriore ingiustificato ritardo.
5. Il titolare del trattamento documenta qualsiasi violazione dei dati
personali, comprese le circostanze a essa relative, le sue
conseguenze e i provvedimenti adottati per porvi rimedio. Tale
documentazione consente all’autorità di controllo di verificare il
rispetto del presente articolo.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso62
63. DATA BREACH NOTIFICATION
Il furto è avvenuto nel 2014!
Il mercato lo ha saputo dopo 2 anni!!!!!!
Non è chiaro quando Yahoo ha scoperto il furto, se subito
o dopo. In ogni caso è possibile che questi fatti non
vengano individuati immediatamente mentre accadono
(ma il titolare deve mettere in piedi sistemi che aiutano a
farlo), ma solo dopo tempo ….a volte potrebbe essere che
non ci si accorge della violazione.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso63
65. Lesson
#11
Il GDPR formalizza l’obbligatorietà della notifica all’Autorità garante nel caso di furto di
dati personali; questo è un aspetto importante che può spaventare molto le
organizzazioni in quanto sancisce l’obbligatorietà di non insabbiare il furto di dati.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso65
66. ARTICOLO 34: COMUNICAZIONE DI UNA VIOLAZIONE DEI
DATI PERSONALI ALL’INTERESSATO (1/3)
1. Quando la violazione dei dati personali è suscettibile di presentare
un rischio elevato per i diritti e le libertà delle persone fisiche, il
titolare del trattamento comunica la violazione all’interessato senza
ingiustificato ritardo.
2. La comunicazione all’interessato di cui al paragrafo 1 del presente
articolo descrive con un linguaggio semplice e chiaro la natura della
violazione dei dati personali e contiene almeno le informazioni e le
misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d).
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso66
67. ARTICOLO 34: COMUNICAZIONE DI UNA VIOLAZIONE DEI
DATI PERSONALI ALL’INTERESSATO (2/3)
3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è
soddisfatta una delle seguenti condizioni:
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative
adeguate di protezione e tali misure erano state applicate ai dati personali
oggetto della violazione, in particolare quelle destinate a rendere i dati personali
incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare
il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di
cui al paragrafo 1;
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede
invece a una comunicazione pubblica o a una misura simile, tramite la quale gli
interessati sono informati con analoga efficacia.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso67
68. ARTICOLO 34: COMUNICAZIONE DI UNA VIOLAZIONE DEI
DATI PERSONALI ALL’INTERESSATO (3/3)
4. Nel caso in cui il titolare del trattamento non abbia ancora
comunicato all’interessato la violazione dei dati personali, l’autorità di
controllo può richiedere, dopo aver valutato la probabilità che la
violazione dei dati personali presenti un rischio elevato, che vi
provveda o può decidere che una delle condizioni di cui al paragrafo
3 è soddisfatta.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso68
69. Lesson
#12
Il GDPR formalizza l’obbligatorietà della notifica all’interessato nel caso di furto di dati
personali, questa azione può essere evitata nel caso di presenza di adeguate misure di
sicurezza atte a proteggere i dati rubati (di fatto la sola cifratura). La presenza della
cifratura può non essere un fattore sufficiente se non adeguatamente robusta.
Questo è un aspetto importante che può spaventare molto le organizzazioni in quanto
sancisce l’obbligatorietà, in alcuni casi, del rendere pubblico il furto di dati (e quindi la non
presenza di adeguate misure di sicurezza atte a proteggere i dati).
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso69
70. Accenni alla Direttiva (UE) 2016/680
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso70
72. ARTICOLO 6: DISTINZIONE TRA DIVERSE CATEGORIE DI
INTERESSATI
Gli Stati membri dispongono che il titolare del trattamento, se del caso e nella
misura del possibile, operi una chiara distinzione tra i dati personali delle
diverse categorie di interessati, quali:
a) le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o
stiano per commettere un reato;
b) le persone condannate per un reato;
c) le vittime di reato o le persone che alcuni fatti autorizzano a considerare potenziali
vittime di reato, e
d) altre parti rispetto a un reato, quali le persone che potrebbero essere chiamate a
testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti, le
persone che possono fornire informazioni su reati o le persone in contatto o collegate
alle persone di cui alle lettere a) e b).
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso72
73. RECEPIMENTO DELLA DIRETTIVA 680/2016
«LEGGE 25 ottobre 2017, n. 163
Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti
dell'Unione europea - Legge di delegazione europea 2016-2017. (17G00177)
Art. 11 Criterio direttivo per l'attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del
27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte
delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di
sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del
Consiglio
1. Nell'esercizio della delega per l'attuazione della direttiva (UE) 2016/680 <omissis> il Governo è tenuto a seguire,
oltre ai principi e criteri direttivi di cui all'articolo 1, comma 1, anche il seguente criterio direttivo specifico:
prevedere, per le violazioni delle disposizioni adottate a norma della citata direttiva,
l'applicazione della pena detentiva non inferiore nel minimo a sei mesi e non superiore nel massimo a cinque anni,
ferma restando la disciplina vigente per le fattispecie penali già oggetto di previsione.
2. Dall'attuazione del presente articolo non devono derivare nuovi o maggiori oneri a
carico della finanza pubblica. Le amministrazioni interessate provvedono agli adempimenti di cui al presente articolo
con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso73
74. CONSIDERAZIONI
• È una direttiva quindi dovrà essere recepita dallo stato italiano (cosa a cui è stato
delegato il Governo a farlo attraverso la forma del Decreto legge).
• È relativa ai così detti “dati giudiziari” e altri aspetti connessi.
• È prettamente relativa alle amministrazioni o all’autorità non alle singole
organizzazioni.
• Per le organizzazioni potrebbe interessare solo se si trovano a gestire dati assimilabili
a dati giudiziari.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso74
75. Lesson
#13
Il nuovo framework privacy europeo non si compone del solo GDPR, che comunque ne è
la parte principale, ma ha anche una direttiva, approvata congiuntamente al GDPR, che la
completa.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso75
77. COME STA PROCEDENDO L’UNIONE EUROPEA?
Dove è consentito dai trattati che regolamentano l’Unione procede sotto forma di
Regolamento (quindi senza la necessità di recepimento da parte degli Stati membri
dell’Unione)
Nota: il procedere sotto forma di regolamento comporta, di fatto, un iter più lungo in quanto gli Stati
membri dell’Unione non hanno la possibilità di «adattare» la norma in fase di recepimenti. Il
Parlamento e la Commissione devono trovare il giusto compromesso fra le esigenze dei diversi
stati membri.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso77
78. PERCHÉ L’EPRIVACY REGULATION VA VISTO INSIEME AL
GDPR?
Articolo 1 Oggetto
[omissis]
3. Quanto disposto dal presente regolamento precisa e integra il regolamento (UE) 2016/679 stabilendo norme
specifiche ai fini di cui ai paragrafi 1 e 2.
Articolo 4 Definizioni
[omissis]
1. Ai fini del presente regolamento si applicano le seguenti definizioni:
(a) le definizioni contenute nel regolamento (UE) 2016/679;
E tanti altri punti
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso78
79. PERCHÉ L’EPRIVACY REGULATION VA VISTO INSIEME AL
GDPR?
Articolo 27 Abrogazione
1. La direttiva 2002/58/CE è abrogata a decorrere dal 25 maggio 2018.
Il più eloquente di tutti però è l’articolo 27 che indica la stessa identica data di decorrenza del GDPR.
Articolo 29 Entrata in vigore e applicazione
1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta
ufficiale dell’Unione europea.
2. Esso si applica a decorrere dal 25 maggio 2018.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso79
80. La proposta di Regolamento ePrivacy va visto come parte integrante del framework
privacy europeo. La Direttiva (UE) 2016/680 va a braccetto al GDPR (Regolamento (UE)
2016/679) in quanto approvate insieme, nello stesso modo la proposta Regolamento
ePrivacy ha una serie di punti interni come riferimenti e data di entrata in vigore.
Lesson
#14
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso80
81. Il framework privacy europeo non è solo GDPR. Il GDPR va visto, come dice il suo
nome, come un regolamento generale che fornisce le regole base e comuni a tutti i
diversi ambiti. Queste regole di base sono integrate da altre normative specifiche
come la Direttiva (UE) 2016/680 e la Proposta Regolamento ePrivacy.
Lesson
#15
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso81
82. CONSULTAZIONI DELLE PARTI INTERESSATE (1/3)
La Commissione ha organizzato una consultazione pubblica che si è svolta
fra il 12 aprile e il 5 luglio 2016:
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso82
83. CONSULTAZIONI DELLE PARTI INTERESSATE (2/3)
• Esigenza di norme speciali per il settore delle comunicazioni elettroniche per quanto
riguarda la riservatezza delle stesse:
▪ D’ACCORDO: l’83,4% dei cittadini, delle organizzazioni dei consumatori e della società civile
e l’88,9% delle autorità pubbliche
▪ NON D’ACCORDO: 63,4% del settore
• Ampliamento dell’ambito di applicazione ai nuovi servizi di comunicazione (OTT):
▪ D’ACCORDO: il 76% dei cittadini e della società civile e il 93,1% delle autorità pubbliche
▪ NON D’ACCORDO: il 63,8% dei rispondenti del settore
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso83
84. CONSULTAZIONI DELLE PARTI INTERESSATE (3/3)
• Modifica delle esenzioni per consentire il trattamento dei dati relativi al traffico e
alla localizzazione:
▪ il 49,1% dei cittadini e delle organizzazioni dei consumatori e della società civile nonché il
36% delle autorità pubbliche preferiscono non ampliare le esenzioni
▪ il 36% del settore si dichiara a favore di tale ampliamento; 2/3 del settore auspicano
l’abrogazione pura e semplice delle disposizioni
• Sostegno alle soluzioni proposte relativamente alla questione del consenso ai
marcatori:
▪ l’81,2% dei cittadini e il 63% delle autorità pubbliche sostengono l’imposizione di obblighi
ai fabbricanti di apparecchiature terminali affinché commercializzino prodotti con
impostazioni di vita privata attive preimpostate
▪ il 58,3% del settore appoggia l’opzione di autoregolamentazione e/o co-
regolamentazione
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso84
85. La Proposta di Regolamento ePrivacy è più a favore dei cittadini e della protezione dei
loro diritti che delle organizzazioni.
Lesson
#16
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso85
86. PROPOSTA DI REGOLAMENTO EPRIVACY (1/2)
Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e
che abroga la direttiva 2002/58/CE (regolamento sulla vita privata e le comunicazioni elettroniche)
1. Si propone di emanare sotto forma di regolamento e non di direttiva
2. E’ specifico sulla tutela dei dati personali nelle comunicazioni elettroniche
3. Abroga e sostituisce la direttiva 2002/58/CE
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso86
87. Si sta procedendo sotto forma di regolamenti quando consentito in modo tale da non
dover essere recepiti e adattati dagli stati membri dell’Unione. Tutte e due le direttive
da cui derivava il DLgs 196:2003 andranno a decadere.
Lesson
#17
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso87
88. PROPOSTA DI REGOLAMENTO EPRIVACY (2/2)
4. Entrerà in vigore in concomitanza con l’entrata in vigore del GDPR
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso88
89. AMBITO DEL REGOLAMENTO EPRIVACY
CAPO I DISPOSIZIONI GENERALI
Articolo 1 Oggetto
1. Il presente regolamento stabilisce norme in materia di tutela dei diritti e delle
libertà fondamentali delle persone fisiche e giuridiche per quanto attiene alla
fornitura e all’uso di servizi di comunicazione elettronica, in particolare il diritto
al rispetto della vita privata e delle comunicazioni nonché la tutela delle persone
fisiche in merito al trattamento dei dati personali.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso89
90. AMBITO DEL REGOLAMENTO EPRIVACY
CAPO I DISPOSIZIONI GENERALI
Articolo 1 Oggetto
2. Il presente regolamento garantisce la libera circolazione dei dati delle
comunicazioni elettroniche e dei servizi di comunicazione elettronica
nell’Unione, i quali non sono limitati né proibiti per motivi connessi al rispetto
della vita privata e delle comunicazioni delle persone fisiche e giuridiche nonché la
tutela delle persone fisiche per quanto attiene al trattamento dei dati personali.
3. Quanto disposto dal presente regolamento precisa e integra il regolamento (UE)
2016/679 stabilendo norme specifiche ai fini di cui ai paragrafi 1 e 2.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso90
91. CHE COSA VUOLE ANDARE A REGOLAMENTARE QUESTO
REGOLAMENTO?
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso91
92. Regolamenta i servizi elettronici e lo scambio dei dati attraverso questi mezzi.
Regolamenta la raccolta dei metadati degli utenti.
Lesson
#18
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso92
93. AMBITO DEL REGOLAMENTO EPRIVACY
CAPO I DISPOSIZIONI GENERALI
Articolo 2 Ambito di applicazione materiale
1. Il presente regolamento si applica al trattamento dei dati delle comunicazioni
elettroniche effettuato in relazione alla fornitura e alla fruizione dei servizi di
comunicazione elettronica e alle informazioni connesse alle apparecchiature
terminali degli utenti finali.
2. Il presente regolamento non si applica:
c) ai servizi di comunicazione elettronica non accessibili al pubblico;
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso93
94. SERVIZI OVER-THE-TOP
I consumatori e le imprese si sono affidati sempre più ai nuovi servizi basati su internet
intesi a consentire le comunicazioni interpersonali, quali il voice-over-IP, la
messaggistica istantanea e i servizi di posta elettronica basati sulla rete anziché fruire
dei servizi di comunicazione tradizionali. Questi servizi di comunicazione over-the-top
(“OTT”) non sono di norma soggetti all’attuale quadro di riferimento dell’Unione per le
comunicazioni elettroniche, compresa la direttiva sulla vita privata elettronica.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso94
95. Regolamenta i servizi erogati al di sopra di altri servizi, quindi messaggistica istantanea
pubblica, email, call center, etc.
Lesson
#19
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso95
96. ARTICOLO 6 TRATTAMENTO CONSENTITO DEI DATI DELLE
COMUNICAZIONI ELETTRONICHE
1. I fornitori di reti e servizi di comunicazione elettronica possono trattare i dati delle
comunicazioni elettroniche se:
(a) necessario per realizzare la trasmissione della comunicazione, per la durata
necessaria a tal fine, oppure
(b) se necessario per mantenere o ripristinare la sicurezza delle reti e dei servizi di
comunicazione elettronica o rilevare problemi e/o errori tecnici nella
trasmissione di comunicazioni elettroniche, per la durata necessaria a tal fine.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso96
97. ARTICOLO 6 TRATTAMENTO CONSENTITO DEI DATI DELLE
COMUNICAZIONI ELETTRONICHE
2. I fornitori di servizi di comunicazione elettronica possono trattare i metadati delle
comunicazioni elettroniche se:
(a) necessario per soddisfare i requisiti di qualità obbligatori a norma della
[direttiva che istituisce il codice europeo delle comunicazioni elettroniche] o del
regolamento (UE) 2015/212011, per la durata necessaria a tal fine; oppure
(b) se necessario a fini di fatturazione, calcolo di pagamenti di interconnessione,
rilevamento o arresto di un uso fraudolento o abusivo dei servizi di
comunicazione elettronica o di abbonamento agli stessi; oppure
(c) se l’utente finale ha prestato il suo consenso al trattamento dei metadati delle
sue comunicazioni per uno o più fini specificati, compresa l’erogazione di servizi
di traffico a tali utenti finali, purché il o i fini in questione non possano essere
realizzati mediante un trattamento anonimizzato delle informazioni.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso97
98. Il trattamento è consentito solo per le cose necessarie e per il tempo strettamente
necessario.
Lesson
#20
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso98
99. ARTICOLO 7 CONSERVAZIONE E CANCELLAZIONE DEI DATI
DELLE COMUNICAZIONI ELETTRONICHE
1. Fatto salvo quanto disposto all’articolo 6, paragrafo 1, lettera b) e all’articolo 6,
paragrafo 3, lettere a) e b), il fornitore del servizio di comunicazioni elettroniche
cancella il contenuto delle comunicazioni elettroniche o anonimizza tali dati dopo
che il o i destinatari previsti hanno ricevuto il contenuto della comunicazione
elettronica. Tali dati possono essere registrati o conservati dagli utenti finali o da
un terzo da essi incaricato di registrare, conservare o trattare altrimenti tali dati, a
norma del regolamento (UE) 2016/679.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso99
100. Il fornitore del servizio deve cancellare i dati a meno che l’utente non acceda ad un
servizio di archiviazione. Ad esempio le conversazioni non devono risiedere su server ma
solo sul dispositivo dell’utente.
Lesson
#21
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso100
101. ARTICOLO 9 CONSENSO
2. Fatto salvo quanto disposto dal paragrafo 1, laddove tecnicamente possibile e
praticabile, ai fini dell’articolo 8, paragrafo 1, lettera b), il consenso può essere
espresso mediante le opportune impostazioni di un’applicazione informatica che
consente l’accesso a internet.
3. Gli utenti finali che hanno acconsentito al trattamento dei dati delle comunicazioni
elettroniche a norma dell’articolo 6, paragrafo 2, lettera c), e dell’articolo 6,
paragrafo 3, lettere a) e b), dispongono della facoltà di revocare tale consenso in
qualsiasi momento, conformemente a quanto disposto all’articolo 7, paragrafo 3,
del regolamento (UE) 2016/679, e ogni sei mesi viene loro rammentata tale
possibilità, finché prosegue il trattamento.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso101
102. ARTICOLO 10 INFORMAZIONI E OPZIONI DA FORNIRE PER LE
IMPOSTAZIONI RELATIVE ALLA VITA PRIVATA
1. I programmi immessi sul mercato che consentono le comunicazioni elettroniche,
compreso il recupero e la presentazione di informazioni in rete, offrono l’opzione di
impedire che terzi conservino informazioni sull’apparecchiatura terminale di un
utente finale o trattino le informazioni già conservate su detta apparecchiatura.
2. All’installazione il programma informa l’utente finale delle impostazioni relative
alla vita privata e per proseguire nell’installazione richiede il consenso dell’utente
per una data impostazione.
3. Qualora un programma sia già installato al 25 maggio 2018, i requisiti di cui ai
paragrafi 1 e 2 sono soddisfatti al momento del primo aggiornamento del
programma e comunque non oltre il 25 agosto 2018.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso102
103. È possibile formalizzare un vero e proprio Privacy Level Agreement fra organizzazione e
cittadino. Bisogna rispettare il principio del Privacy by Default.
Lesson
#22
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso103
104. ARTICOLO 14 BLOCCO DELLE CHIAMATE IN ENTRATA
I fornitori di servizi di comunicazione interpersonale basata sul numero accessibili al
pubblico adottano misure all’avanguardia affinché gli utenti finali possano limitare il
ricevimento di chiamate indesiderate e forniscono inoltre all’utente finale chiamato le
seguenti possibilità, a titolo gratuito:
(a) bloccare le chiamate in entrata provenienti da numeri specifici o da fonti anonime;
(b) porre termine alla trasmissione delle chiamate automatiche effettuate da terzi
verso l’apparecchiatura terminale dell’utente finale.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso104
105. Gli utenti «dovrebbero» riprendere un poco il controllo delle informazioni che gli
riguardano.
Lesson
#23
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso105
106. ARTICOLO 16 COMUNICAZIONI INDESIDERATE
1. Le persone fisiche o giuridiche possono avvalersi dei servizi di comunicazione
elettronica al fine di inviare comunicazioni di commercializzazione diretta a utenti
finali aventi natura di persone fisiche che hanno espresso il loro consenso.
2. Allorché una persona fisica o giuridica ottiene dai suoi clienti le coordinate
elettroniche per la posta elettronica nel contesto della vendita di un prodotto o
servizio ai sensi del regolamento (UE) 2016/679, la medesima persona fisica o
giuridica può utilizzare tali coordinate elettroniche a scopi di commercializzazione
diretta di propri prodotti o servizi analoghi, solamente se ai clienti è offerta in
modo chiaro e distinto la possibilità di opporsi gratuitamente e agevolmente a tale
uso. Il diritto di obiezione è dato al momento della raccolta e ogniqualvolta si invii
un messaggio.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso106
107. ARTICOLO 16 COMUNICAZIONI INDESIDERATE
3. Fatto salvo quanto disposto ai paragrafi 1 e 2, le persone fisiche o giuridiche che
usano servizi di comunicazione elettronica per effettuare chiamate di
commercializzazione diretta:
(a) presentano l’identità di una linea alla quale possono essere contattati; oppure
(b) presentano un codice o prefisso specifico che identifichi il fatto che trattasi di
chiamata a fini commerciali.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso107
108. In termini di consenso cambia poco rispetto a come è oggi in Italia, deve essere
esplicito e dettagliato per la tipologia di uso delle informazioni
Lesson
#24
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso108
109. Le chiamate da parte dei call center devono essere identificabili indicando un numero
dove possono essere contattati (per esercitare il loro diritto di essere cancellati ad
esempio) oppure presentando un prefisso riconoscibile (e quindi rifiutabile se l’utente
lo ritiene).
Lesson
#25
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso109
110. ARTICOLO 17 INFORMAZIONI SUI RISCHI RELATIVI ALLA
SICUREZZA RILEVATI
Nel caso in cui esista un particolare rischio di compromettere la sicurezza delle reti e
dei servizi di comunicazione elettronica, il fornitore di un servizio di comunicazione
elettronica ne informa gli utenti finali e, qualora il rischio sia al di fuori del campo di
applicazione delle misure che devono essere prese dal fornitore di servizio, comunica
agli utenti finali tutti i possibili rimedi, compresi i relativi costi presumibili.
Informare gli utenti sui rischi
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso110
111. La sicurezza non può essere trascurata da parte dell’operatore sia per quanto di sua
responsabilità sia per quanto riguarda l’informazione agli utenti e su come risolverli.
Lesson
#26
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso111
112. ARTICOLO 23 CONDIZIONI GENERALI PER IMPORRE
SANZIONI AMMINISTRATIVE PECUNIARIE
2. In conformità al paragrafo 1, la violazione delle seguenti disposizioni del presente
regolamento è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR,
o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio
precedente, se superiore:
[omissis]
3. Le violazioni del principio della riservatezza delle comunicazioni, del trattamento
consentito dei dati delle comunicazioni elettroniche, dei termini ultimi previsti per la
cancellazione in conformità degli articoli 5, 6 e 7, a norma del paragrafo 1, sono
soggette a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le
imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se
superiore.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso112
113. Le sanzioni sono similari a quelle previste nel GDPR anche come importi.
Lesson
#27
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso113
114. ARTICOLO 28 CLAUSOLA DI MONITORAGGIO E VALUTAZIONE
Entro il 1° gennaio 2018 la Commissione stila un programma particolareggiato per il
monitoraggio dell’efficacia del presente regolamento.
Non oltre tre anni dalla data di applicazione del presente regolamento e
successivamente ogni tre anni, la Commissione effettua una valutazione del presente
regolamento e ne presenta i risultati salienti al Parlamento europeo, al Consiglio e al
Comitato economico e sociale europeo. Se del caso la valutazione proporrà di
modificare o abrogare il presente regolamento alla luce degli sviluppi giuridici, tecnici o
economici.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso114
115. Il regolamento ePrivacy è visto in modo diverso dal GDPR, essendo in un ambito che
evolve rapidamente è soggetto a monitoraggio ed adeguamento periodico.
Lesson
#28
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso115
116. ARTICOLO 29 ENTRATA IN VIGORE E APPLICAZIONE
1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla
pubblicazione nella Gazzetta ufficiale dell’Unione europea.
2. Esso si applica a decorrere dal 25 maggio 2018.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile
in ciascuno degli Stati membri.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso116
117. La proposta di regolamento va a braccetto con il GDPR.
Lesson
#29
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso117
118. I provvedimenti principali del Garante 15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso118
119. LE FONTI DELLE REGOLE PRIVACY
Codice
I provvedimenti
generali del Garante
Linee guida
Prescrittività
Regole generali
Prescrizioni per
specifici trattamenti
(eventuali)
Indicazioni per l’attuazione
delle regole e delle
(eventuali) prescrizioni
TalvoltailGarantenel
provvedimentodiapprovazione
dellelineeguidaadottadelle
prescrizioni
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso119
120. Lesson
#30
Il ruolo del Garante della Protezione dei Dati Personali è stato fondamentale fino ad
oggi e lo sarà ancora in futuro, probabilmente con un ruolo anche un po’ diverso. Ci
sono varie forme con le quali può informare o emanare delle regole e sono più o meno
impositive.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso120
121. Provvedimento Amministratori di Sistema 15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso121
122. IL PROVVEDIMENTO DEL GARANTE DELLA PRIVACY
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati
con strumenti elettronici relativamente alle attribuzioni delle funzioni
di amministratore di sistema
Il provvedimento non riguarda esclusivamente gli amministratori di
sistemi tradizionali (personale che opera sui sistemi dove risiedono i
dati) ma in generale tutte le figure professionali (amministratori di
database, di rete, di apparati di sicurezza) le cui attività possono in
qualche misura comportare dei rischi per la protezione dei dati
Il provvedimento è entrato definitivamente in vigore il 15 dicembre
2009
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso122
123. RESTA VALIDO CON LA NUOVA NORMATIVA?
Il provvedimento non sembra presentare incongruenze con la nuova
normativa, quindi dovrebbe restare valido anche sotto la nuova
normativa.
Opinione
personale!
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso123
124. Lesson
#31
Il Provvedimento del Garante della Protezione dei Dati Personali relativo agli
amministratori di sistema probabilmente resterà valido in quanto non sembra essere in
contrasto con la nuova normativa.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso124
126. Le misure suggerite dal Garante per una “rottamazione”
sicura di PC hanno l’obiettivo di richiamare tutti gli
utilizzatori sulla necessità di assicurare una reale ed
effettiva cancellazione dei dati o che venga garantita la
loro intelligibilità.
RIFIUTI APPARECCHIATURE ELETTRICHE ED ELETTRONICHE
(RAEE) - COME “ROTTAMARE” IL PC IN TUTTA TRANQUILLITÀ
Nota: per PC è da intendersi qualsiasi dispositivo elettronico
connesso alla rete e che può accedere ai dati. Quindi PC
Desktop, Laptop, Tablet, Smartphone, ecc.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso126
127. RESTA VALIDO CON LA NUOVA NORMATIVA?
Il provvedimento non sembra presentare incongruenze con la nuova
normativa, quindi dovrebbe restare valido anche sotto la nuova
normativa.
Opinione
personale!
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso127
128. Lesson
#32
Il Provvedimento del Garante della Protezione dei Dati Personali relativo allo
smaltimento degli apparati probabilmente resterà valido in quanto non sembra essere in
contrasto con la nuova normativa.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso128
130. Il Garante per la protezione dei dati personali ha varato (08/04/2010) nuove regole per i
soggetti pubblici e privati che intendono installare o hanno già adottato sistemi di
videosorveglianza.
Il nuovo provvedimento generale, che sostituisce quello emanato nel 2004, introduce
novità in considerazione:
• dell’aumento massiccio di sistemi di videosorveglianza per diverse finalità
(prevenzione reati, tutela proprietà, controllo stradale)
• dei numerosi interventi legislativi in materia (in particolare quelli che hanno
attribuito ai sindaci e comuni specifiche competenze in materia di sicurezza urbana
SISTEMI DI VIDEOSORVEGLIANZA
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso130
131. • I cittadini che transitano in aree sorvegliate devono essere informati
con cartelli, visibili anche al buio se il sistema di videosorveglianza è
attivo in orario notturno.
• I sistemi di videosorveglianza installati da soggetti pubblici e privati
collegati alle forze dell’ordine richiedono uno specifico cartello
informativo, sulla base del modello elaborato dal Garante.
• Le telecamere installate a fini di tutela dell’ordine e della sicurezza
pubblica non hanno obbligo di essere segnalate, ma il Garante
auspica l’utilizzo di cartelli che informino i cittadini anche in questi
casi.
VIDEOSORVEGLIANZA: PRINCIPI GENERALI
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso131
132. VA COMPRESO COME APPLICARLO ALLA VIDEO
SORVEGLIANZA DINAMICA ATTRAVERSO I DRONI
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso132
133. RESTA VALIDO CON LA NUOVA NORMATIVA?
Il provvedimento non sembra presentare incongruenze con la nuova
normativa, quindi dovrebbe restare valido anche sotto la nuova
normativa.
Opinione
personale!
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso133
134. Lesson
#33
Il Provvedimento del Garante della Protezione dei Dati Personali relativo alla
videosorveglianza probabilmente resterà valido in quanto non sembra essere in contrasto
con la nuova normativa.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso134
135. 15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso135
136. GDPR – IL DATA PROTECTION OFFICER (ART. 37)
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso136
137. CHE COSA DEVE FARE IL DPO?
Articolo 39: Compiti del responsabile della protezione dei dati (DPO)
1. Il DPO è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché
ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente
regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei
dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati
membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del
responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle
responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle
connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla DPIA e sorvegliarne lo svolgimento ai sensi dell’articolo
35;
d) cooperare con l’autorità di controllo; e
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra
cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni
relativamente a qualunque altra questione.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso137
138. CHE COMPETENZE DEVE AVERE QUINDI IL DPO?
Consulenza in merito agli obblighi
derivanti dal presente regolamento
Sorvegliare l’osservanza del
presente regolamento
Fornire un parere in merito alla
DPIA
Cooperare con l’autorità di
controllo
Fungere da punto di contatto per
l’autorità di controllo
Competenze in: legge; sicurezza ICT; sicurezza fisica;
procedure; …..
Competenze in: auditing
Competenze in: risk analysis; trattamento del rischio; misure
di sicurezza (tecniche, organizzative, ecc.)
Competenze in: relazionali; gestione situazioni critiche;
auditing; …..
Competenze in: relazionali; gestione situazioni critiche;
auditing; …..
Opinione
personale!
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso138
139. QUINDI COME SI POSIZIONA UN INGEGNERE?
Un ingegnere è adatto al mestiere di DPO ma:
• Dovrebbe appartenere al terzo settore e masticare quindi di ICT e information security;
• Dovrebbe appartenere all’ambito civile e masticare quindi di infrastrutture, protezioni
fisiche, ecc.
• Dovrebbe appartenere al settore meccanico e masticare quindi di processi industriali,
barriere, ecc.
Però dovrebbe anche essere:
• Un auditor perché deve saper verificare;
• Un avvocato e masticare quindi di leggi;
• Un esperto di sicurezza fisica e vigilanza;
• Un esperto di processi;
• …….
Opinione
personale!
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso139
140. QUINDI COME SI POSIZIONA UN INGEGNERE?
Quindi un DPO dovrebbe essere contemporaneamente:
• Un ingegnere informatico (ed esperto di sicurezza delle informazioni);
• Un ingegnere civile;
• Un ingegnere meccanico;
• Un ingegnere gestionale;
• Un avvocato;
• Un auditor;
• Un esperto di vigilanza;
• ………..
Opinione
personale!
Quindi un DPO oggi non esiste!
Chiunque ha delle lacune da colmare, è una
figura con competenze da costruire.
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso140
141. COME LO SI FORMA QUINDI UN DPO?
Opinione
personale!
Esperienza!
Esperienza!
Esperienza!
Esperienza!
Studio!
Studio!
Corsi!Certificazioni!
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso141
142. TITOLI, QUALIFICHE E CERTIFICAZIONI INERENTI AL DPO
Opinione
personale!
Probabilmente il Garante della Protezione dei Dati emanerà delle regole per il DPO, in attesa di quelle
che cosa potrebbe essere attinente alla figura del DPO?
Ingegneria edile/civile
Architettura
Geometra
Giurisprudenza Ingegneria Informatica
Scienza delle infromazioni
Sicurezza
antincendio
……………
ISO/IEC 27001
ISO 22301
……
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso142
143. CONSIGLIO NAZIONALE FORENSE E CONSIGLIO
NAZIONALE INGEGNERI
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso143
144. Lesson
#34
La figura del Data Protection Officer non è, al momento, ancora chiara. Sicuramente le
competenze che deve avere sono ampie e complesse. Oggi c’è parecchia confusione e
presenza di qualifiche e corsi sul tema. Da capire il valore che effettivamente avranno
per ricoprire il ruolo di DPO. L’esperienza riveste un ruolo fondamentale!!!!!
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso144
145. Conclusioni del Seminario e del ciclo di seminari15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso145
147. CONCLUSIONI SUL MODULO
• La protezione dei dati è una materia regolamentata da leggi, non è ad adozione
volontaria come uno standard ISO;
• Il quadro normative non è del tutto chiaro ma comunque sono chiari i principi
fondamentali;
• Esistono standard e best practices ampie sulla sicurezza delle informazioni a cui
poter attingere per fare bene la protezione dei dati.
• …..ricordate le varie «lesson»
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso147
148. Andrea Praitano
andrea.praitano@gmail.com
@apraitano
+39 328 8122642
it.linkedin.com/in/andreapraitano/
Commissione Sicurezza informatica
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso148