Daniele Vecchi, Gianni Origoni Grippo Cappelli & Partners, al Meeting Nazionale ACEF 2015
VEDI TUTTI GLI INTERVENTI SU http://www.economiaefinanza.org/atti
L'avvento del GDPR nel Maggio del 2018 ci consente di fare una serie di riflessioni riguardo ai nostri database e ai dati in essi contenuti. Come dobbiamo prepararci?
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
L'imminente entrata in vigore della GDPR e la recente evoluzione degli attacchi di tipo ransomware come WannaCry sono due argomenti che destano preoccupazione a tutte le aziende e tolgono il sonno ai responsabili IT. La buona notizia è che possiamo affrontare entrambi con maggiore serenità sfruttando le nuove funzionalità di Netwrix Auditor 9.0, una piattaforma di visibilità e governance che consente di individuare e combattere tempestivamente un'infezione ransomware ed allo stesso tempo permette di adeguarsi alla nuova GDPR nei tempi previsti.
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
Come preparare l'azienda ad un'ispezione da parte del Garante per il trattamento dei dati personali? Quali procedure adottare, documenti privacy preparare e come istruire i propri dipendenti al fine di minimizzare il rischio di sanzioni ai sensi del GDPR
Daniele Vecchi, Gianni Origoni Grippo Cappelli & Partners, al Meeting Nazionale ACEF 2015
VEDI TUTTI GLI INTERVENTI SU http://www.economiaefinanza.org/atti
L'avvento del GDPR nel Maggio del 2018 ci consente di fare una serie di riflessioni riguardo ai nostri database e ai dati in essi contenuti. Come dobbiamo prepararci?
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
L'imminente entrata in vigore della GDPR e la recente evoluzione degli attacchi di tipo ransomware come WannaCry sono due argomenti che destano preoccupazione a tutte le aziende e tolgono il sonno ai responsabili IT. La buona notizia è che possiamo affrontare entrambi con maggiore serenità sfruttando le nuove funzionalità di Netwrix Auditor 9.0, una piattaforma di visibilità e governance che consente di individuare e combattere tempestivamente un'infezione ransomware ed allo stesso tempo permette di adeguarsi alla nuova GDPR nei tempi previsti.
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
Come preparare l'azienda ad un'ispezione da parte del Garante per il trattamento dei dati personali? Quali procedure adottare, documenti privacy preparare e come istruire i propri dipendenti al fine di minimizzare il rischio di sanzioni ai sensi del GDPR
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
“Cloud e dati aziendali, gli impatti sulla privacy".
Come posso proteggere i dati nel cloud? E’ possibile verificarne costantemente l’utilizzo, senza infrangere la normativa privacy? Ma sono davvero sicuri i miei dati nel Cloud? Se non ci ho pensato prima, come posso implementare un controllo a posteriori? Sto già usando inconsapevolmente servizi cloud?
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
Come gestire un data breach da attacco ransomwareGiulio Coraggio
In questo webinar, gli Avv.ti Giulio Coraggio, Cristina Criscuoli e Giulia Zappaterra dello studio legale DLA Piper hanno discusso di come gestire un attacco ransomware e di quali possono essere le conseguenze di una gestione inadeguata di simili incidenti.
Il webinar si è concentrato inoltre sull’importanza di adottare una politica efficace in materia di sicurezza informatica e sulle possibili misure da implementare al fine di prevenire il verificarsi di simili attacchi e mitigarne sensibilmente gli effetti ove dovessero avverarsi.
Da recenti studi risulterebbe che ogni minuto circa 5.518 dati vengano sottratti alle aziende attraverso azioni di Data Breach. I nuovi e crescenti rischi informatici, insieme alla recente disposizione legislativa in materia di tutela e protezione dei dati (GDPR), obbligano le aziende ad adottare strumenti di analisi del rischio. Forniremo casi concreti e reali relativi a metodologie e tecniche di Cyber Attack. La violazione di un sito, da un punto di vista giuridico (e organizzativo), richiede una pronta, rapida e consapevole reazione, finalizzata da parte del Titolare nel cercare, una volta individuata la causa, di eliminare gli effetti, limitare i danni e ripristinare, per quanto possibile, la situazione antecedente. Inoltre, la violazione implica l'obbligo (sanzionato) di informare il Garante di quanto è avvenuto (senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza) e, nei casi più gravi, tutte le persone a cui si riferiscono i dati oggetto della violazione. Per ridurre il rischio di una violazione e consentire di gestire al meglio l'eventuale reazione, è necessario aver implementato un Sistema di Gestione Privacy coerente e costantemente aggiornato e monitorato. Verranno indicati e forniti gli strumenti e le metodologie per ridurre dell’80% il rischio di Data Breach.
https://www.swascan.com/it/rischio-data-breach/
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
Vite d'impresa 2018 - I workshop di CentoCinquanta.
Privacy, come cambia la regolamentazione della materia con il nuovo GDPR
A distanza di circa vent’anni dall’entrata in vigore della prima legge italiana in materia di privacy, il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, denominato GDPR - General Data Protection Regulation. Il Regolamento, direttamente applicabile in tutti gli Stati membri, diventerà pienamente operativo a partire dal 25 maggio 2018.
Esso incide profondamente sulle regole della privacy con conseguenze importanti per imprese, enti pubblici e altri soggetti che debbano gestire, conservare, trasferire o trattare dati personali.
Gli adempimenti non sono pochi e alcuni sono decisamente nuovi: molti di tali adempimenti non sono esattamente definiti ed è lasciato alle imprese e agli enti pubblici l’obbligo di indicare come comportarsi, caso per caso.
Crescono anche le responsabilità in capo alle imprese e ai responsabili aziendali, con sanzioni che possono raggiungere fino a 20 milioni di euro.
L’incontro mira, pertanto, ad illustrare le principali novità introdotte dal GDPR e i relativi obblighi di adeguamento richiesti alle imprese.
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
“Cloud e dati aziendali, gli impatti sulla privacy".
Come posso proteggere i dati nel cloud? E’ possibile verificarne costantemente l’utilizzo, senza infrangere la normativa privacy? Ma sono davvero sicuri i miei dati nel Cloud? Se non ci ho pensato prima, come posso implementare un controllo a posteriori? Sto già usando inconsapevolmente servizi cloud?
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
Come gestire un data breach da attacco ransomwareGiulio Coraggio
In questo webinar, gli Avv.ti Giulio Coraggio, Cristina Criscuoli e Giulia Zappaterra dello studio legale DLA Piper hanno discusso di come gestire un attacco ransomware e di quali possono essere le conseguenze di una gestione inadeguata di simili incidenti.
Il webinar si è concentrato inoltre sull’importanza di adottare una politica efficace in materia di sicurezza informatica e sulle possibili misure da implementare al fine di prevenire il verificarsi di simili attacchi e mitigarne sensibilmente gli effetti ove dovessero avverarsi.
Da recenti studi risulterebbe che ogni minuto circa 5.518 dati vengano sottratti alle aziende attraverso azioni di Data Breach. I nuovi e crescenti rischi informatici, insieme alla recente disposizione legislativa in materia di tutela e protezione dei dati (GDPR), obbligano le aziende ad adottare strumenti di analisi del rischio. Forniremo casi concreti e reali relativi a metodologie e tecniche di Cyber Attack. La violazione di un sito, da un punto di vista giuridico (e organizzativo), richiede una pronta, rapida e consapevole reazione, finalizzata da parte del Titolare nel cercare, una volta individuata la causa, di eliminare gli effetti, limitare i danni e ripristinare, per quanto possibile, la situazione antecedente. Inoltre, la violazione implica l'obbligo (sanzionato) di informare il Garante di quanto è avvenuto (senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza) e, nei casi più gravi, tutte le persone a cui si riferiscono i dati oggetto della violazione. Per ridurre il rischio di una violazione e consentire di gestire al meglio l'eventuale reazione, è necessario aver implementato un Sistema di Gestione Privacy coerente e costantemente aggiornato e monitorato. Verranno indicati e forniti gli strumenti e le metodologie per ridurre dell’80% il rischio di Data Breach.
https://www.swascan.com/it/rischio-data-breach/
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
Vite d'impresa 2018 - I workshop di CentoCinquanta.
Privacy, come cambia la regolamentazione della materia con il nuovo GDPR
A distanza di circa vent’anni dall’entrata in vigore della prima legge italiana in materia di privacy, il 4 maggio 2016 è stato pubblicato nella Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679, denominato GDPR - General Data Protection Regulation. Il Regolamento, direttamente applicabile in tutti gli Stati membri, diventerà pienamente operativo a partire dal 25 maggio 2018.
Esso incide profondamente sulle regole della privacy con conseguenze importanti per imprese, enti pubblici e altri soggetti che debbano gestire, conservare, trasferire o trattare dati personali.
Gli adempimenti non sono pochi e alcuni sono decisamente nuovi: molti di tali adempimenti non sono esattamente definiti ed è lasciato alle imprese e agli enti pubblici l’obbligo di indicare come comportarsi, caso per caso.
Crescono anche le responsabilità in capo alle imprese e ai responsabili aziendali, con sanzioni che possono raggiungere fino a 20 milioni di euro.
L’incontro mira, pertanto, ad illustrare le principali novità introdotte dal GDPR e i relativi obblighi di adeguamento richiesti alle imprese.
Quali sono diritti e doveri di lavoratori e datori di lavoro nel caso di installazione di impianti audiovisivi e altri strumenti di controllo a distanza dell'attività dei lavoratori?
Intervista a Marco Gallo, Capo della Divisione Analisi e Ricerca Economica della Sede di Bologna della Banca d’Italia, a cura di Gianfranco Barbieri, Presidente ACEF.
I MEDICI DELLE IMPRESE
www.economiaefinanza.org
Intervento di Beatrice Ingenito, Barbieri & associati Dottori Commercialisti, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Massimo Melica, Studio Legale Melica Scandelin & Partners, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Morena Diazzi, Regione Emilia-Romagna, Direttore Generale Economia della Conoscenza, del Lavoro e dell'Impresa, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Giuseppe Schirone, Economista e Manager, Prometeia, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Elisa Santorsola, Osservatorio Professionisti e Innovazione Digitale, Politecnico di Milano, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Giovanni Parenti, DIirector at Strategic Management Partners, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Biagio Palmieri, Guardia di Finanza, Comando Provinciale di Bologna, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Josè Paulo Graciotti, Fondatore Graciotti Assessoria Empresarial Ltda, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Andrea Gnudi, Presidente dell'Ordine degli Ingegneri di Bologna, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Alessandra Damiani, Managing Partner Barbieri & Associati Dottori Commercialisti, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Pietro Buccarelli, Partner Gianni Origoni Grippo Cappelli & Partners, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento del Capitano Domenico Lisa, Guardia di Finanza, Comando Provinciale di Bologna, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Andrea Amaduzzi, Professore ordinario di Economia Aziendale, Università Milano Bicocca, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Dulcinea Bignami, Dottore Agronomo e Giornalista professionista, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Beatrice Zarri, Agenzia delle Entrate, Direzione Regionale Emilia-Romagna, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Chiara Pappalardo, Studio Legale FTCC, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Eleonora Pani, Forensic Economist, Ernst & Young, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Mario Paccoia, Studio Vassalli, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
Intervento di Danilo Martucci, Studio NG Legal, al 19° Meeting Nazionale ACEF - Sotto i cieli d'Europa. 8 - 15 - 22 - 29 novembre 2019, Bologna, Confindustria Emilia Area Centro
More from Barbieri & Associati Dottori Commercialisti - Bologna (20)
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - Claudia Cevenini
1. Sicurezza dei dati e delle
informazioni all’epoca del cloud
Le norme
________________________
15°Meeting nazionale ACEF
Bologna, 30 ottobre 2015
Claudia Cevenini
2. La nuvola informatica
Insieme di tecnologie che permettono di memorizzare,
archiviare, elaborare, trasmettere grandi quantità di dati
mediante l'uso di risorse hardware e software
distribuite e virtualizzate in rete.
I dati sono trattati da fornitori di servizi cloud e sono
conservati presso le loro server farm, in Italia o
all’estero.
Dati e servizi sono erogati via Internet e accessibili
da qualsiasi dispositivo (pc, tablet, smartphone), su
richiesta dell’utente.
3. Quale disciplina giuridica?
Se sono trattati dati personali in cloud, occorre capire
quali regole si debbano applicare.
Il Codice privacy italiano (D.Lgs. 196/03) si applica a:
- soggetti stabiliti nello Stato, anche se i dati sono
detenuti all’estero;
- soggetti stabiliti fuori dalla UE se utilizzano
strumenti ubicati nel territorio dello Stato.
Il Titolare italiano sarà quindi soggetto agli obblighi e
alle responsabilità del Codice ovunque si trovino i dati
la cui gestione è stata affidata in outsourcing al cloud
provider.
4. Evoluzione normativa
E’ in discussione un Regolamento europeo sulla
protezione dei dati personali, che sarà direttamente
applicabile negli Stati Membri (Regolamento Generale
sulla protezione dei dati).
I principi fondamentali resteranno gli stessi ma alcune
regole cambieranno, per adeguare la normativa
all’evoluzione tecnologica (la Direttiva UE risale al
1995).
La proposta di Regolamento è disponibile on-line:
http://eur-lex.europa.eu/legal-
content/IT/ALL/?uri=CELEX:52012PC0011
5. Ambito di applicazione: cosa cambia
La bozza di Regolamento europeo prevede un diverso
«Campo di applicazione territoriale»:
Il Regolamento si applica ai soggetti extra-UE che
trattano dati di residenti nell’Unione se il trattamento
riguarda:
- l’offerta di beni o la prestazione di servizi ai suddetti
residenti, o
- il controllo del loro comportamento.
6. Ruoli e responsabilità
Impresa o professionista che tratta dati personali
agisce come Titolare: decide finalità e modalità del
trattamento, gli strumenti utilizzati, oltre al profilo della
sicurezza.
Il Titolare che tratta dati personali in cloud deve designare
il cloud provider come Responsabile del trattamento.
Il Titolare ha l'obbligo di impartire istruzioni scritte
analitiche al Responsabile.
Il Responsabile è tenuto ad attenersi alle disposizioni del
Titolare. E’ preposto dal Titolare al trattamento di dati
personali; non agisce di iniziativa propria ma opera sotto
la direzione e la vigilanza del Titolare.
7. Minacce per la sicurezza dei dati
Cloud – aumento dell'uso di Internet e applicazioni
remote, condivisione dei dati, uso di ambienti di
collaborazione.
Rischi – accesso non consentito ai dati, sottrazione,
distruzione, modifica non autorizzata, trattamento non
conforme alle finalità, ecc.
Minacce interne – intenzionali o casuali. Importante
adottare misure tecniche e organizzative di sicurezza,
istruire adeguatamente gli incaricati del trattamento.
Minacce esterne – accesso abusivo e altri possibili
reati informatici, spionaggio industriale.
8. Rischi per il Titolare 1/2
Diminuzione del controllo sui propri dati e sui
trattamenti gestiti dal provider.
Aumento di esposizione dei dati critici, dovuto alle
caratteristiche di condivisione del cloud.
Aumento dell'utilizzo di reti pubbliche per l'accesso alle
risorse remote.
9. Rischi per il Titolare 2/2
Il cloud provider potrebbe accedere a dati personali
dell'utente o di cui l'utente è Titolare.
Luogo di memorizzazione dei dati non può essere
definito a priori e può variare per esigenze operative
(es. trasferimento di dati all'estero).
Il cloud provider può avvalersi a sua volta dei servizi
cloud di un altro provider (es. un provider SaaS può
avvalersi di un provider IaaS) = catena di cloud.
10. 10
Sicurezza dei dati e dei sistemi 1/2
Disciplinare tecnico in materia di misure MINIME
di sicurezza (Allegato B al Codice)
I titolari del trattamento, nel rispetto degli obblighi
generali di sicurezza, devono adottare le misure
minime di sicurezza previste dalla legge.
Es: Sistema di autenticazione informatica; profili di
autorizzazione; antivirus; aggiornamento periodico dei
programmi; backup, ecc.
11. 11
Sicurezza dei dati e dei sistemi 2/2
Misure c.d. IDONEE
Nel custodire e controllare i dati devono essere adottate
idonee e preventive misure di sicurezza per
ridurre al minimo i rischi di distruzione o perdita
(anche accidentale) dei dati, accesso non
autorizzato, trattamento non consentito o non
conforme agli scopi.
Nel predisporre le misure di sicurezza occorre tenere
conto di: progresso tecnico, natura dei dati,
caratteristiche del trattamento.
12. Cosa fare?
Gestione delle identità e dei ruoli (Titolare,
Responsabile, Incaricati), definizione di privilegi e
autorizzazioni.
Attenzione alle utenze admin: è necessario operare in
conformità alle prescrizioni del Garante sugli
amministratori di sistema.
Gestione del contratto – verificare che il contratto
garantisca la conformità effettiva alle norme vigenti.
13. Contratti di cloud - Legge applicabile
Perdita di controllo fisico – controllo indiretto mediante
gli strumenti conferiti all'utente dal contratto.
Tale controllo risulta più difficile se la legge applicabile
al contratto o il foro competente è straniero.
Importante sapere se un eventuale provvedimento del
giudice (italiano o straniero) verrà eseguito in tempi
rapidi.
Occorre verificare che il cloud provider indichi in quale
Paese si trovano i data center che ospitano i dati.
14. Contratti di cloud - Misure di
sicurezza 1/3
Occorre verificare che il cloud provider si impegni a
rispettare le misure di sicurezza previste dal Codice
Privacy.
Non sono sufficienti generiche clausole in cui si
impegna a operare in conformità alla normativa
vigente.
Opportuno avvalersi di fornitori che indichino
dettagliatamente le misure adottate per garantire
sicurezza, riservatezza e integrità dei dati.
15. Contratti di cloud - Misure di
sicurezza 2/3
Se il provider è extra-UE potrebbe non essere
assoggettato al Codice privacy (lo sarebbe solo in caso
di utilizzo di strumenti localizzati in Italia).
Se l'utente Titolare del trattamento è un’impresa o
professionista con sede in Italia sarà invece in ogni
caso tenuto a rispettare il Codice privacy: dovrà
tutelarsi mediante il contratto.
L'utente dovrà esigere dal provider garanzie
contrattuali che garantiscano che il servizio fornito e i
trattamenti di dati personali nella nuvola siano
compatibili con il Codice privacy.
16. Contratti di cloud - Misure di
sicurezza 3/3
Allegato B Misure “minime” di sicurezza: si può
prevedere il rilascio di una dichiarazione liberatoria sul
rispetto della normativa da parte del fornitore/provider.
Il provider sarà tenuto a garantire il rispetto del Codice
privacy solo se soggetto alla legge italiana.
In caso contrario, il Titolare può cercare di ottenere
tale garanzia come impegno contrattuale.
17. Catene di cloud
Dal punto di vista legale, contrattuale e di gestione dei
rischi occorre valutare l'aspetto della catena di fornitori
(es. provider che si avvale dei servizi di altro provider in
cloud).
L'utente potrebbe anche non sapere che il suo fornitore
di servizi si appoggia ad altro fornitore in cloud e quindi
usare servizi cloud – con tutte le conseguenti
problematiche legali – a sua insaputa.
Il Codice privacy non prevede che un Responsabile del
trattamento possa designare un altro Responsabile. Il
Titolare/cliente dovrebbe vincolare il provider ad
appoggiarsi a fornitori che accettino di essere designati
a loro volta come Responsabili direttamente dal Titolare.
18. Contratti di cloud - Luogo del
trattamento dei dati
Importante che sia individuato il luogo di trattamento
dei dati.
I dati potrebbero trovarsi in Italia, nella UE o in paesi
extra-UE.
Nel caso di trasferimento di dati verso altri paesi
UE non si pongono particolari problemi, in quanto la
circolazione è libera.
Nel caso di trasferimento dei dati extra UE, occorre
verificare che siano rispettate le regole per il corretto
trasferimento di dati extra UE previste dal
Codice privacy.
19. 19
Trasferimento di dati all’estero 1/3
All’interno della UE
Il Codice non può essere applicato in modo da
limitare la libera circolazione di dati
personali all’interno dell’Unione Europea.
Possono essere adottati provvedimenti se il
trasferimento di dati all’estero ha lo scopo di
eludere le disposizioni del Codice.
20. 20
Trasferimento di dati all’estero 2/3
Verso Paesi terzi (=extra UE) il trasferimento di dati,
anche temporaneo, è possibile se:
- consenso espresso dell’interessato (manifestato per
iscritto se dati sensibili);
- t. necessario per eseguire obblighi di un contratto
di cui è parte l’interessato, adempiere a richieste
dell’interessato, per concludere o eseguire un
contratto a favore dell’interessato;
- t. necessario per salvaguardia di un interesse
pubblico individuato per legge o regolamento;
- t. necessario per salvaguardia della vita o
incolumità fisica di un terzo;
21. 21
Trasferimento di dati all’estero 3/3
- t. necessario per investigazioni difensive o per
tutelare un diritto in giudizio;
- t. effettuato in seguito a richiesta di accesso a
documenti amministrativi o di estrazione di dati
da pubblichi elenchi, registri, ecc. conoscibili da
chiunque;
- t. necessario per scopi storici, statistici o
scientifici;
- t. riguarda dati di persone giuridiche, enti o
associazioni.
Inoltre, t. è possibile con l’autorizzazione del Garante
sulla base di adeguate garanzie per i diritti
dell'interessato.
22. 22
Trasferimenti extra UE vietati
Tranne nei casi consentiti di cui agli artt. 43 e 44, il
trasferimento anche temporaneo fuori dal territorio
dello Stato, con qualsiasi mezzo e in qualsiasi forma, di
dati personali verso un Paese extra UE è vietato
quando l'ordinamento del Paese di destinazione o
di transito dei dati non assicura un adeguato
livello di tutela delle persone.
Sono valutate anche le modalità di trasferimento e dei
trattamenti previsti, le finalità, la natura dei dati e le
misure di sicurezza adottate.
23. 23
US-EU Safe Harbor
Si trattava di un procedimento che le società
statunitensi potevano seguire per essere conformi alla
normativa europea sulla protezione dei dati personali.
Lo US Department of Commerce aveva sviluppato tale
procedimento in collaborazione con l’Unione Europea e
la Commissione europea, che lo avevano dichiarato
conforme alla normativa UE sulla protezione dei dati
personali.
Grazie al SH, era possibile trasferire dati personali verso
le imprese statunitensi che vi avevano aderito, in quanto
si riteneva garantisse un adeguato livello di tutela.
Il SH è stato recentemente giudicato illegittimo.
24. 24
Cosa è successo e cosa significa?
Il 6 ottobre la Corte di Giustizia dell’Unione
europea ha emesso una sentenza che stabilisce un
principio rilevante per il cloud, nel caso i server siano
ubicati negli USA: gli Stati Uniti non offrono un
adeguato livello di tutela nella protezione dei dati
personali.
Maximillian Schrems vs. Data Protection Commissioner.
Causa C-362/14.
http://curia.europa.eu/juris/document/document_print.j
sf?doclang=EN&text=&pageIndex=0&part=1&mode=re
q&docid=169195&occ=first&dir=&cid=663265
25. 25
Dopo la sentenza
15 ottobre - Autorità Garanti europee (c.d. Art. 29): “Se
non saranno trovate soluzioni appropriate entro la fine
del gennaio 2016 le Autorità intraprenderanno ogni
azione necessaria e appropriata, incluse eventuali
iniziative coordinate di enforcement“.
26 ottobre - Vera Jourova, Commissaria UE alla
Giustizia: “Esiste un accordo di principio con gli Stati
Uniti in materia di Safe harbour, ma stiamo ancora
discutendo per fare in modo che gli impegni soddisfino
appieno le richieste della Corte”.
26. 26
Conclusioni 1/2
Imprese e professionisti devono innanzitutto effettuare
un’attenta verifica della conformità al Codice privacy
all’interno della propria organizzazione/del proprio studio.
Particolare attenzione dovrà essere dedicata non solo ai
noti aspetti formali (informativa, consenso) ma anche alle
misure di sicurezza tecniche e organizzative idonee
che è opportuno adottare in relazione ai dati personali
trattati.
Se intendono utilizzare servizi in cloud, occorre verificare
le clausole contrattuali con la massima attenzione per
comprendere se l’adesione al contratto possa comportare
rischi o responsabilità, in particolare se il cloud provider
non fornisce adeguate garanzie o se è soggetto a un
ordinamento giuridico extra-europeo.
27. 27
Conclusioni 2/2
E’ importante che imprese e professionisti restino
costantemente aggiornati sull’evoluzione normativa
in materia di protezione dei dati personali.
Spesso la gestione della ‘privacy’ è affidata a soggetti
esterni, con competenze tecniche e non giuridiche.
Ogni impresa, ogni studio necessita di un’analisi
personalizzata e non può semplicemente affidarsi a moduli
pre-compilati e a software generici.