Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Par-Tec S.p.A.
Il TechAdvisor Michelangelo Uberti fornisce una panoramica del nuovo Regolamento europeo sulla protezione dei dati e presenta le misure di sicurezza informatiche che secondo Par-Tec è necessario applicare per mitigare i danni derivanti da un eventuale data breach.
I punti trattati durante la presentazione sono:
- Panoramica sulla nuova normativa
- Cosa accade in caso di violazione dei dati
- Quali misure adottare
- Privileged Activity Monitoring
- Full-disk e File Encryption
- Enterprise Mobility Management
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su http://www.par-tec.it/regolamento-eu-2016-679-le-tecnologie-a-protezione-dei-dati
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...Jürgen Ambrosi
Dati, dati, dati, ovunque, su tutto e tutti. I dati sono il nuovo Capitale, ma rappresentano in molti casi il nostro essere, la nostra identità, una parte importante del nostro privato. Per questi motivi, tra gli altri, l’Unione Europea ha voluto ed emanato un Nuovo Regolamento Generale per la Protezione Dati (GDPR), per aiutarci a conoscere i nostri diritti sulla questione ed aiutare coloro che questi dati trattano a farlo nella maniera giusta. E trattarli significa anche proteggerli da violazioni, che possono avvenire dall’esterno, ma anche dall’interno della organizzazione che di questi dati è titolare e responsabile del trattamento. Vieni ad informarti durante questo webinar, attraverso il racconto di casi d’uso ed esperienze concrete di suoi clienti, come Oracle mette a disposizione tecnologie e soluzioni, che permettono di proteggere efficacemente i loro dati e soddisfare molti requisiti contenuti nel GDPR UE.
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
Intervento di Melissa Marchese, Studio Legale Gianni, Origoni, Grippo Cappelli & Partners, in occasione del "16°Meeting Nazionale ACEF - Idee senza recinti", 28/10/2016, Sede della Regione Emilia Romagna, Bologna
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
L'avvento del GDPR nel Maggio del 2018 ci consente di fare una serie di riflessioni riguardo ai nostri database e ai dati in essi contenuti. Come dobbiamo prepararci?
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
In occasione del MySQL Day 2018 di Roma il TechAdvisor Michelangelo Uberti ha fornito una panoramica delle contromisure tecnologiche a protezione del dato.
I punti trattati durante la presentazione sono:
- Presentazione dell’offerta Par-Tec dedicata a MySQL Enterprise Edition
- Le misure da adottare per essere compliant al GDPR
- La formazione ed i corsi Par-Tec Educational
- Le tecnologie a difesa del dato
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/il-gdpr-e-le-tecnologie-a-protezione-dei-dati-personali
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
Estratto della presentazione del seminario tenuto dall'avv. Maggipinto (Studio Legale AMLAW) a SMAU Milano 2017.
Keywords: cybersecurity; sicurezza; privacy; gdpr; data breach.
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
L'imminente entrata in vigore della GDPR e la recente evoluzione degli attacchi di tipo ransomware come WannaCry sono due argomenti che destano preoccupazione a tutte le aziende e tolgono il sonno ai responsabili IT. La buona notizia è che possiamo affrontare entrambi con maggiore serenità sfruttando le nuove funzionalità di Netwrix Auditor 9.0, una piattaforma di visibilità e governance che consente di individuare e combattere tempestivamente un'infezione ransomware ed allo stesso tempo permette di adeguarsi alla nuova GDPR nei tempi previsti.
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...Social Hub Genova
GDPR. Privacy for dummies. Come rispondere alla nuova normativa europea sulla privacy senza impazzire!
La privacy è un obbligo di legge, poco compreso, molto discusso, sempre mal praticato. Come già succede per Certificazione di Qualità, anche la privacy può essere gestita male e rivelarsi inutile, oppure amministrata bene e portare a dei risultati interessanti. Una corretta gestione dei nuovi adempimenti sulla privacy, prescritti dalla normativa europea General Data Protection Regulation, permette infatti alle aziende di seguire dei processi certificati, acquisendo autorevolezza agli occhi dei propri clienti e interlocutori.
Nel corso dell’evento si parlerà di privacy in un modo un po' differente rispetto a quanto abbiamo sentito sin ora. E' un obbligo, lo sappiamo tutti, ma seguire la normativa dovrebbe essere utile alle aziende anche per stringere rapporti con nuovi stakeholder, rafforzare la presenza nel proprio ecosistema e intercettare clienti potenziali.
Guido Loleo si propone di raccontarci ciò che davvero serve sapere sul GDPR, lo spirito della normativa ed il modo più semplice per adeguare un’azienda alle disposizioni europee, inquadrandole all’interno delle politiche di sviluppo aziendali.
L'incontro è rivolto a imprese avviate e nuove imprese, startup, cooperative e imprese sociali, che si confrontano con il trattamento dei dati di persone fisiche.
Atti del Convegno A.I.G.A. svoltosi a Pordenone il 24 maggio 2012 sul tema "Adempimenti degli studi Legali: privacy, sicurezza e preventivi".
Slides Avvocato Stefano Corsini
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
Sviluppare un’app, progettare un sito web e, più in generale, realizzare un servizio IT basato sul trattamento dei dati personali richiede un’attenta analisi dell’impatto normativo di tali attività sotto il profilo della protezione dei dati personali.
Allo stesso modo, anche nella progettazione di un trattamento di dati personali è opportuno individuare le migliori soluzioni IT presenti sul mercato che consentano il rispetto dei principi e degli obblighi stabiliti dal Regolamento (UE) 2016/679 (GDPR).
L’obiettivo del seminario, quindi, è quello di illustrare gli aspetti più rilevanti in funzione dei principi della “data protection by design and by default” e le principali azioni finalizzate a garantire, sin dalle prime fasi di sviluppo e progettazione, la protezione dei dati personali.
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
Intervento di Melissa Marchese, Studio Legale Gianni, Origoni, Grippo Cappelli & Partners, in occasione del "16°Meeting Nazionale ACEF - Idee senza recinti", 28/10/2016, Sede della Regione Emilia Romagna, Bologna
The Dark Side of the GDPR: dalla compliance alla formazionePar-Tec S.p.A.
In occasione dell’evento "The Dark Side of the GDPR: la sicurezza in mostra" gli esperti Par-Tec e Sophos hanno presentato il nuovo Regolamento europeo sulla protezione dei dati personali mediante l’analisi di un interessante caso di studio e delle principali contromisure normative ed organizzative, antropiche (la formazione) e tecnologiche.
I punti trattati durante la presentazione sono:
- Compliance
- Introduzione al GDPR
- Presentazione di un caso di studio
- Il ruolo del DPO
- Tecnologia
- Le tecnologie a difesa del dato
- Full-disk e File encryption
- Endpoint Protection
- Enterprise Mobility Management
- Formazione
- Offerta Educational e Linea Security
- Presentazione corso GDPR
Per saperne di più, scaricate le slide e guardate il video integrale della presentazione su https://www.par-tec.it/the-dark-side-of-the-gdpr-dalla-compliance-alla-formazione
L'avvento del GDPR nel Maggio del 2018 ci consente di fare una serie di riflessioni riguardo ai nostri database e ai dati in essi contenuti. Come dobbiamo prepararci?
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
MySQL Day Roma 2018 - Il GDPR e le tecnologie a protezione dei dati personaliPar-Tec S.p.A.
In occasione del MySQL Day 2018 di Roma il TechAdvisor Michelangelo Uberti ha fornito una panoramica delle contromisure tecnologiche a protezione del dato.
I punti trattati durante la presentazione sono:
- Presentazione dell’offerta Par-Tec dedicata a MySQL Enterprise Edition
- Le misure da adottare per essere compliant al GDPR
- La formazione ed i corsi Par-Tec Educational
- Le tecnologie a difesa del dato
Per saperne di più, scaricate le slide e guardate il video della presentazione del nostro TechAdvisor su https://www.par-tec.it/il-gdpr-e-le-tecnologie-a-protezione-dei-dati-personali
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...Andrea Maggipinto [+1k]
Estratto della presentazione del seminario tenuto dall'avv. Maggipinto (Studio Legale AMLAW) a SMAU Milano 2017.
Keywords: cybersecurity; sicurezza; privacy; gdpr; data breach.
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
L'imminente entrata in vigore della GDPR e la recente evoluzione degli attacchi di tipo ransomware come WannaCry sono due argomenti che destano preoccupazione a tutte le aziende e tolgono il sonno ai responsabili IT. La buona notizia è che possiamo affrontare entrambi con maggiore serenità sfruttando le nuove funzionalità di Netwrix Auditor 9.0, una piattaforma di visibilità e governance che consente di individuare e combattere tempestivamente un'infezione ransomware ed allo stesso tempo permette di adeguarsi alla nuova GDPR nei tempi previsti.
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...Social Hub Genova
GDPR. Privacy for dummies. Come rispondere alla nuova normativa europea sulla privacy senza impazzire!
La privacy è un obbligo di legge, poco compreso, molto discusso, sempre mal praticato. Come già succede per Certificazione di Qualità, anche la privacy può essere gestita male e rivelarsi inutile, oppure amministrata bene e portare a dei risultati interessanti. Una corretta gestione dei nuovi adempimenti sulla privacy, prescritti dalla normativa europea General Data Protection Regulation, permette infatti alle aziende di seguire dei processi certificati, acquisendo autorevolezza agli occhi dei propri clienti e interlocutori.
Nel corso dell’evento si parlerà di privacy in un modo un po' differente rispetto a quanto abbiamo sentito sin ora. E' un obbligo, lo sappiamo tutti, ma seguire la normativa dovrebbe essere utile alle aziende anche per stringere rapporti con nuovi stakeholder, rafforzare la presenza nel proprio ecosistema e intercettare clienti potenziali.
Guido Loleo si propone di raccontarci ciò che davvero serve sapere sul GDPR, lo spirito della normativa ed il modo più semplice per adeguare un’azienda alle disposizioni europee, inquadrandole all’interno delle politiche di sviluppo aziendali.
L'incontro è rivolto a imprese avviate e nuove imprese, startup, cooperative e imprese sociali, che si confrontano con il trattamento dei dati di persone fisiche.
Atti del Convegno A.I.G.A. svoltosi a Pordenone il 24 maggio 2012 sul tema "Adempimenti degli studi Legali: privacy, sicurezza e preventivi".
Slides Avvocato Stefano Corsini
Sviluppare e progettare secondo il principio data protection by design and by...Gianluca Satta
Sviluppare un’app, progettare un sito web e, più in generale, realizzare un servizio IT basato sul trattamento dei dati personali richiede un’attenta analisi dell’impatto normativo di tali attività sotto il profilo della protezione dei dati personali.
Allo stesso modo, anche nella progettazione di un trattamento di dati personali è opportuno individuare le migliori soluzioni IT presenti sul mercato che consentano il rispetto dei principi e degli obblighi stabiliti dal Regolamento (UE) 2016/679 (GDPR).
L’obiettivo del seminario, quindi, è quello di illustrare gli aspetti più rilevanti in funzione dei principi della “data protection by design and by default” e le principali azioni finalizzate a garantire, sin dalle prime fasi di sviluppo e progettazione, la protezione dei dati personali.
Slides a disposizione dei partecipanti ai corsi di formazione GDPR. Formazione circa il quadro normativo della protezione dei dati e privacy. (GDPR, leggi e decreti successivi.
Slides realizzate da wp2privacy (Dottoressa Marinzia Pagliaro e Dottor Andrea Gandini).
Ultimo aggiornamento: 8giu2023
18. R. Villano “La gestione della sicurezza in Farmacia” con presentazione del Dr. Piero Renzulli, già Consulente per la Sicurezza presso le Nazioni Unite. Opera apprezzata dal Capo dello Stato e da numerose autorità e istituzioni tecniche, scientifiche, giuridiche e professionali. Avvalendosi di un’ottica senza precedenti, la materia della sicurezza viene trasformata da fonte di preoccupazioni e di costi, spesso considerati superflui e senza ritorno, in un sostegno fondamentale della validità e dell’efficienza professionali. L’argomento della sicurezza si snoda dalla definizione di ruoli, obblighi e responsabilità individuali, per esempio quelli titolare, dei responsabili del servizio di prevenzione e protezione, e di prevenzione incendio. Non manca un supporto legislativo, con il richiamo alle informative e agli articoli dei decreti di legge che interessano l’argomento preso in esame. Vengono poi affrontati numerosi altri aspetti. Ogni rischio è valutato con attenzione, identificandone i vari elementi e programmando e attuando le misure di prevenzione. Non si tralascia l’attenzione per la sistemazione e l’allestimento dei laboratori farmaceutici, il sistema di controllo alimentare aziendale, lo smaltimento dei rifiuti e dei medicinali scaduti, la tutela della privacy, e la farmacovigilanza. Il volume è corredato di una modulistica e di schede tecniche, che forniscono un valido aiuto nella prevenzione e nella valutazione di eventuali rischi e pericoli, sia che si tratti di tipologie di rifiuti sanitari, che di farmaci tossici, o statistiche di segnalazione. Il presentatore invita tutti coloro che amano la scienza e la sua divulgazione in abiti sobri e raffinatidi unirsi a lui nel ringraziare l’Autore del suo genreroso sforzo teso soltanto all’appagamento di una tensione mentale e spirituale che trova nel sociale la sua prima realizzazione. È in prestigiose Istituzioni e in molte Biblioteche specialistiche, tra cui: Quirinale; Ministero della Salute; Carabinieri NAS; Accademia Nazionale delle Scienze detta dei XL; Centrale giuridica - Roma; Medica statale; Nobile Collegio Chimico Farmaceutico Universitas Aromatariorum Urbis; varie Università italiene ed estere e Facoltà di Farmacia. (Small Business, Longobardi Ed., pp. 222, aprile 2004 - presentata al Congresso Nazionale della Federazione Nazionale dei Farmacisti Italiani - maggio 2004; Standard Edition, Led Web International, (ISBN) pp. 264, Torino, ottobre 2004 - presentata alla Fiera del Libro di Francoforte - Buchmesse - del 6/10 ottobre 2004);
Digital transformation: Smart Working, sicurezza e dati personaliFederico Costantini
Intervento nella V lezione «Il lavoro agile durante l’emergenza epidemiologica: opportunità, criticità e protocolli Covid-19», AGI, Ordine degli Avvocati di Udine, WEBINAR 7 luglio 2020 ore 15.30 – 16.30
GDPR - Compliance al nuovo regolamento europeo per la protezione dei dati sen...Giuseppe Ricci
Una macro sintesi del regolamento UE 2016/679 del parlamento europeo e del consiglio datato 27 aprile 2016 e degli spunti di riflessione su come raggiungere la compliance.
Continuità operativa e disaster recovery, Franco Cardin ANORC e ABIRTSergio Primo Del Bello
Workshop - Provincia di Bergamo, ANAI Lombardia, Comune di Nembro, ANORC
"I servizi forniti dal CST Centro Servizi Territoriali della Provincia di Bergamo"
4 giugno 2013, ore 9.00 – 13.00, Bergamo, Spazio Viterbi
"Sistemi di sicurezza e protezione dei dati personali", Franco Cardin, direttivo ANORC e coordinatore nazionale ABIRT
Programma: https://dl.dropboxusercontent.com/u/21632223/Archiviando/2%5E%20WS%20Provincia%20BG%20Disaster%20recovery.pdf
Fotografie: https://picasaweb.google.com/117290793877692021380/ConstinuitaOperativaEDisasterRecovery?authuser=0&feat=directlink
Videoregistrazione intervento: https://vimeo.com/album/2442466/video/69401702
Similar to #Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue (20)
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroPrivacy
Questa presentazione descrive gli schemi di certificazione (aziendali) e la figura del DPO nell'ambito della legge 679/2016 (GDPR) nel contesto degli schemi e-CF e EQF. Relaziona anche in merito al lavoro UNI / UNINFO per la legge 4.2013 (Disposizioni in materia di professioni non organizzate)
Meeting with the sponsors (Nov 25th, 2016) - planEuroPrivacy
Discussion with the sponsors and contributors of the plan and next activities of our collective blog and connected initiatives related to the adoption of the new General Data Protection Regulation
Meeting with the sponsors (Nov 25th, 2016) - statusEuroPrivacy
Descriptions to the sponsors and contributors of the first year activity of our collective blog and connected initiatives related to the adoption of the new General Data Protection Regulation
2. #READY4EUDATAP
Profilazione
Profiling: “any form of automated processing of personal data consisting of using those data to evaluate
certain personal aspects relating to a natural person, in particular to analyse or predict aspects
concerning that natural person's performance at work, economic situation, health, personal preferences,
interests, reliability, behaviour, location or movements” [Art. 4.3(aa)]
Adempimenti
Applicazione delle norme del Regolamento (basi legali per il trattamento, principi privacy, ecc.), con
specifiche misure di salvaguardia (es. PIA) [Recital 58a]
Informativa per gli interessati, anche su logiche applicate al trattamento dei dati e possibili
conseguenze [Recital 48, Art. 14(h)]
Diritti di accesso (es. conoscere logiche, finalità e possibili conseguenze del trattamento dei propri
dati) [Recital 51, Art. 15(h)] e diritto di opposizione, in base alla situazione dell’interessato [Art. 19]
Data protection impact assessment, in caso di sistematica ed estensiva valutazione di aspetti
personali basata su trattamenti automatizzati, inclusa la profilazione, che costituisce la base per
decisioni aventi effetti legali o impatti significativi su un individuo [Recital 71, Art. 33.2(a)]
NOTA: le presenti slide fanno riferimento al “compromise text” di GDPR, emerso dal trilogo tra CE, PE e Consiglio
ed inviato dal Consiglio il 15 dicembre 2015
3. #READY4EUDATAP
Profilazione
“Automated individual decision making, including profiling” [Recital 58, Art. 20]
ammesso solo se (in alternativa):
a) necessario ai fini di un contratto stipulato con l’interessato;
b) autorizzato dalla legge di uno Stato membro;
c) basato sul consenso dell’interessato (“explicit” vs. “unambiguous” consent).
Misure idonee a proteggere i diritti degli interessati, compreso il diritto di ottenere un intervento
umano, di esprimere i propri punti di vista e di contestare le decisioni automatizzate.
Di norma non ammesso per dati sensibili (salute, opinioni politiche, orientamento sessuale, ecc.)
Possibili in futuro linee guida del EDPS [Art. 66.1(ba)]
4. #READY4EUDATAP
Anonimizzazione
Anonymous information: “information which does not relate to an identified or identifiable natural
person or to data rendered anonymous in such a way that the data subject is not or no longer
identifiable”
Il Regolamento non si applica al trattamento di informazioni anonime
Per stabilire se l’interessato sia identificabile, occorre tenere conto di “all the means reasonably likely
to be used”, tenendo conto dei relativi costi, tempi e tecnologie disponibili [Recital 23]
Pro: Il trattamento di informazioni anonime non è soggetto al Regolamento
Contro: Impossibilità oggettiva di correlare i dati relativi allo stesso soggetto (anonimo)
(es. è possibile rispondere a domande del tipo: “quanti utenti hanno fruito del servizio?” ma non a domande del tipo:
“degli utenti che hanno fruito del servizio X, quanti hanno anche fruito del servizio Y?”)
Possibili metodi: cancellazione di tutte le informazioni identificative, cifratura e distruzione della relativa
chiave, …
Attenzione al rischio di re-identificazione
5. #READY4EUDATAP
Use case: Trentino Open Living Data
Overview
Analisi di flussi di dati derivati da CDR (traffico telefonico e navigazione internet)
anonimizzati, utilizzati per varie finalità, quali correlazione tra picchi di traffico e
determinati eventi, stima delle aree di provenienza dei visitatori di una mostra, ecc.
(Parte di un più ampio progetto di creazione di una piattaforma di raccolta, analisi e
condivisione dei dati di un territorio, es. consumi di energia, traffico veicolare, traffico
telefonico, per supportare decisioni di aziende e istituzioni, offrire servizi ai cittadini,
monitorare fenomeni sociali, ecc.)
Principali misure di privacy e protezione dei dati
Struttura dedicata (Laboratorio SKIL), separata organizzativamente e fisicamente dalle funzioni di TI.
I CDR sono anonimizzati (es. cancellando i numeri chiamanti e chiamati) nei sistemi di TI, prima dell’invio allo SKIL.
Solo dati già raccolti e trattati da TI sono anonimizzati e inviati allo SKIL (i dati non sono raccolti apposta per il
progetto).
Finalità limitate alla individuazione di trend e correlazioni nei dati, senza alcun effetto su singoli individui. Solo
informazioni statistiche, aggregate e anonime, sono communicate a terzi.
Dopo la trasmissione allo SKIL, i CDR anonimizzati sono cancellati dai sistemi di TI.
Misure di sicurezza per la protezione dei dati durante la trasmissione e il trattamento.
6. #READY4EUDATAP
Pseudonimizzazione
Pseudonymisation: “the processing of personal data in such a way that the data can no longer be
attributed to a specific data subject without the use of additional information, as long as such additional
information is kept separately and subject to technical and organisational measures to ensure non-
attribution to an identified or identifiable person” [Art. 4.3b]
Considerazioni generali:
I dati pseudonimizzati, che possono essere riattribuiti ad un individuo con l’uso di informazioni
aggiuntive, devono essere considerati dati personali [Recital 23]
La pseudonimizzazione può ridurre i rischi per gli interessati ed aiutare a rispettare i requisiti privacy
[Recital 23a]
Conservazione separata delle informazioni aggiutive che consentirebbero di riattribuire i dati
pseudonimizzati [Recital 23c]
Una delle misure applicabili per realizzare i requisiti di privacy by design [Recital 61, Art. 23] e di
sicurezza dei dati [Art. 30]
“Unauthorized reversal of pseudonymisation”: elemento da considerare nella valutazione dei rischi
privacy [Recital 60a] e possibile causa di data breach [Recital 67]
7. #READY4EUDATAP
Pseudonimizzazione
Ruolo nel trattamento dei dati personali:
Elemento da considerare nella valutazione di compatibilità del trattamento dei dati per finalità diverse
da quelle per cui erano stati inizialmente raccolti (es. Big Data analytics) [Art. 6,3a]
Pro: Possibilità di correlare i dati relativi ad uno stesso soggetto (sconosciuto)
(es. è possibile rispondere a domande del tipo: “degli utenti che hanno fruito del servizio X, quanti hanno anche
fruito del servizio Y?”)
Contro: Il trattamento rientra nel campo di applicazione della normativa privacy, con i relativi vincoli
Possibili metodi: crittografia unidirezionale (algoritmi di hashing), …
Requisiti di separazione funzionale
8. #READY4EUDATAP
Use case: Matrici O/D
Overview
Analisi di dati presenti nella rete mobile, per realizzare matrici
origine/destinazione (O/D), cioè tabelle che descrivono la
mobilità della popolazione in una data area, ad esempio per
supportare enti che gestiscono infrastrutture di trasporto, strade,
trasporti pubblici, ecc.
Principali misure di privacy e protezione dei dati
Crittografia unidirezionale (hashing) per sostiture i dati identificativi (es. IMSI) con codici irreversibili.
Trattamenti limitati ad analisi aggregated, senza alcun effetto su singoli individui.
I dati grezzi non sono mai comunicati a terzi.
Non sono raccolti dati ulteriori rispetto a quelli già presenti nei nodi della rete cellulare (es. non sono utilizzate le
funzionalità di localizzazione attiva della rete).
Le chiavi di inizializzazione dell’algoritmo di hash sono cambiate periodicamente.
Particolare cura per escludere gli attributi rari (es.traiettorie da/verso case isolate): 1) aree e intervalli di tempo
sufficientemente ampi, 2) cancellazione dalla matrice dei valori corrispondenti ad un solo spostamento.
Il Garante Privacy non ha rilevato particolari criticità, dall’esame della documentazione del progetto.
9. #READY4EUDATAP
WP 29 Opinions
L’Article 29 Working Party raggruppa le Data Protection Authorities degli Stati membri della UE. I suoi
pareri, pur non avendo carattere cogente, rappresentano importanti riferimenti per l’interpretazione e
l’applicazione della normativa privacy.
Opinion 3/2013 sulla limitazione delle finalità
Riguardo i Big Data, sono descritti due possibili scenari:
quando l’analisi mira a prevedere preferenze personali, comportamenti e attitudini dei singoli clienti, al
fine di informare misure o decisioni prese verso di loro, è necessario il relativo consenso (opt-in);
quando l’analisi mira solo ad individuare trend e correlazioni nelle informazioni, senza effetti su singoli
individui, il concetto di separazione funzionale gioca un ruolo chiave. A tal fine, dovrebbero essere
adottate misure, quali l’anonimizzazione, per garantire che i dati non siano disponibili per supportare
misure o decisioni verso gli individui.
Opinion 5/2014 sulle tecniche di anonimizzazione
Dettagliata analisi, sotto il profilo privacy, delle differenti tecniche di anonimizzazione
Indicazioni per la corretta applicazione delle tecniche di anonimizzazione e per limitare il rischio di re-
identificazione
La pseudonimizzazione è considerata un’utile misura di sicurezza ma non un metodo di
anonimizzazione.