Security Logic nasce dalla fusione di circa 30 anni di esperienza e passione del suo management nei settori delle tecnologie informatiche e delle soluzioni assicurative. L'unione di questi due mondi ha dato vita a un portafoglio di offerta unico nel suo genere che unisce l'aspetto della protezione IT e della gestione dei documenti di conformità alla garanzia assicurativa rispetto ai possibili danni economici che un cyber attack puo' causare all'azienda e ai propri clienti e fornitori.
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCGiulio Coraggio
In questa presentazione abbiamo analizzato l'impatto delle nuove clausole contrattuali standard (SCCs) sui trasferimenti dei dati al di fuori dello SEE, delle raccomandazioni del EDPB sui trasferimenti dei dati e di come eseguire un transfer impact assessment alla luce della sentenza Schrems II grazie ai professionisti esperti di privacy dello studio legale DLA Piper
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
In questo privacy meet-up dello IAPP - International Association of Privacy Professionals, sono state analizzate le recenti decisioni del Garante privacy in materia di telemarketing e le linee guida dello European Data Protection Board sul trattamento dei dati personali sui social media
Security Logic nasce dalla fusione di circa 30 anni di esperienza e passione del suo management nei settori delle tecnologie informatiche e delle soluzioni assicurative. L'unione di questi due mondi ha dato vita a un portafoglio di offerta unico nel suo genere che unisce l'aspetto della protezione IT e della gestione dei documenti di conformità alla garanzia assicurativa rispetto ai possibili danni economici che un cyber attack puo' causare all'azienda e ai propri clienti e fornitori.
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCGiulio Coraggio
In questa presentazione abbiamo analizzato l'impatto delle nuove clausole contrattuali standard (SCCs) sui trasferimenti dei dati al di fuori dello SEE, delle raccomandazioni del EDPB sui trasferimenti dei dati e di come eseguire un transfer impact assessment alla luce della sentenza Schrems II grazie ai professionisti esperti di privacy dello studio legale DLA Piper
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
In questo privacy meet-up dello IAPP - International Association of Privacy Professionals, sono state analizzate le recenti decisioni del Garante privacy in materia di telemarketing e le linee guida dello European Data Protection Board sul trattamento dei dati personali sui social media
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
Come preparare l'azienda ad un'ispezione da parte del Garante per il trattamento dei dati personali? Quali procedure adottare, documenti privacy preparare e come istruire i propri dipendenti al fine di minimizzare il rischio di sanzioni ai sensi del GDPR
Valutazione del rischio GDPR (r01 gen 19)William Zisa
Modello in formato Word .doc disponibile su www.riskhub.it/modelli
Valutazione del rischio GDPR - Normativa sulla protezione dei dati personali - effettuata con RiskHub
Customer Insight e Social Analytics. Dai Big Data ai Relevant Dataduepuntozeroresearch
La rivoluzione dei Big Data, esplosa con l’utilizzo sempre più esteso dei social network, consente per la prima volta alle aziende di ricercare e scoprire nuove opportunità attraverso l’analisi dei comportamenti di acquisto del clienti, della valutazione della percezione dei propri brand e prodotti, della valutazione del servizio alla propria clientela.
L'intervento di Federico Capeci alla Big Data Analytics Conference 2013 di giovedì 17 Ottobre 2013, Roma.
Customer insight e social analytics. dai big data ai relevant dataFederico Capeci
La rivoluzione dei Big Data, esplosa con l’utilizzo sempre più esteso dei social network, consente per la prima volta alle aziende di ricercare e scoprire nuove opportunità attraverso l’analisi dei comportamenti di acquisto del clienti, della valutazione della percezione dei propri brand e prodotti, della valutazione del servizio alla propria clientela
Intervento presentato nel corso del DIGEat2018 - Consilum "Il piano di assessment per la compliance secondo il Regolamento UE 679/2016" a cura del D&L NET
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
CASE OF BĂRBULESCU v. ROMANIA Application no. 61496/08 5 September 2017Andrea Sorba
The document summarizes a judgment from the European Court of Human Rights regarding the case of Bărbulescu v. Romania. It describes how an employee in Romania, Bogdan Bărbulescu, was dismissed from his job after his employer monitored and read his personal communications over Yahoo Messenger. Bărbulescu argued before domestic courts and the ECHR that this violated his right to privacy under Article 8 of the European Convention on Human Rights. The ECHR considered whether the employer's actions interfered with Bărbulescu's private life and whether this was justified. Over 45 pages, the document provides background details on the case and procedural history leading up to the ECHR's judgment.
More Related Content
Similar to Rosario Imperiali - Identificazione e valutazione del rischio
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
Come preparare l'azienda ad un'ispezione da parte del Garante per il trattamento dei dati personali? Quali procedure adottare, documenti privacy preparare e come istruire i propri dipendenti al fine di minimizzare il rischio di sanzioni ai sensi del GDPR
Valutazione del rischio GDPR (r01 gen 19)William Zisa
Modello in formato Word .doc disponibile su www.riskhub.it/modelli
Valutazione del rischio GDPR - Normativa sulla protezione dei dati personali - effettuata con RiskHub
Customer Insight e Social Analytics. Dai Big Data ai Relevant Dataduepuntozeroresearch
La rivoluzione dei Big Data, esplosa con l’utilizzo sempre più esteso dei social network, consente per la prima volta alle aziende di ricercare e scoprire nuove opportunità attraverso l’analisi dei comportamenti di acquisto del clienti, della valutazione della percezione dei propri brand e prodotti, della valutazione del servizio alla propria clientela.
L'intervento di Federico Capeci alla Big Data Analytics Conference 2013 di giovedì 17 Ottobre 2013, Roma.
Customer insight e social analytics. dai big data ai relevant dataFederico Capeci
La rivoluzione dei Big Data, esplosa con l’utilizzo sempre più esteso dei social network, consente per la prima volta alle aziende di ricercare e scoprire nuove opportunità attraverso l’analisi dei comportamenti di acquisto del clienti, della valutazione della percezione dei propri brand e prodotti, della valutazione del servizio alla propria clientela
Intervento presentato nel corso del DIGEat2018 - Consilum "Il piano di assessment per la compliance secondo il Regolamento UE 679/2016" a cura del D&L NET
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
Scopriremo insieme tutti i vantaggi di una soluzione Cloud, per le Piccole e Medie Imprese, utile per adeguarsi alla nuova normativa Europea.
Una soluzione realizzata con il supporto legale di uno studio di avvocati.
VEDI IL VIDEO NELL'ULTIMA SLIDE
Similar to Rosario Imperiali - Identificazione e valutazione del rischio (20)
CASE OF BĂRBULESCU v. ROMANIA Application no. 61496/08 5 September 2017Andrea Sorba
The document summarizes a judgment from the European Court of Human Rights regarding the case of Bărbulescu v. Romania. It describes how an employee in Romania, Bogdan Bărbulescu, was dismissed from his job after his employer monitored and read his personal communications over Yahoo Messenger. Bărbulescu argued before domestic courts and the ECHR that this violated his right to privacy under Article 8 of the European Convention on Human Rights. The ECHR considered whether the employer's actions interfered with Bărbulescu's private life and whether this was justified. Over 45 pages, the document provides background details on the case and procedural history leading up to the ECHR's judgment.
Ivass Lettera al Mercato POG del 4 settembre 2017Andrea Sorba
Direttiva UE n. 2016/97 sulla distribuzione assicurativa e orientamenti preparatori EIOPA sui presìdi in materia di governo e controllo del prodotto (POG) da parte delle imprese di assicurazione e dei distributori di prodotti assicurativi
DECRETO LEGISLATIVO 3 luglio 2017, n. 112 Revisione della disciplina in mater...Andrea Sorba
DECRETO LEGISLATIVO 3 luglio 2017, n. 112 Revisione della disciplina in materia di impresa sociale, a norma dell'articolo 2, comma 2, lettera c) della legge 6 giugno 2016, n. 106
Legge n. 81/2017 Misure per la tutela del lavoro autonomo non imprenditoriale e misure volte a favorire l'articolazione flessibile nei tempi e nei luoghi del lavoro subordinato.
2. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Sommario Generale
2
Accountability e
compliance
Nuovo approccio
Valutazione di
adeguatezza
Apprezzamento del
rischio
1 2 3 4 5 6
By design e
Aree a rischio elevato
Conclusioni
3. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Accountability e compliance
3
1
4. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Responsabilizzazione e sistema di conformità
4
Accountability Compliance
6. Dall’approccio prescrittivo alla responsabilizzazione
6
Si richiede la capacità dell’azienda Titolare di effettuare un’adeguata valutazione del rapporto tra
rischi individuati e misure tecnico-organizzative adottate e di dimostrarlo.
ACCOUNTABILITY
1
Focus nelle prossime
slide
2. RISCHIO 3. MISURE
1. ACCOUNTABILITY
4. VALUTAZIONE DI ADEGUATEZZA
7. Nuovo approccio: implicazioni per le aziende
7
Capacità di monitorare determinazioni e valutazioni adottando correttivi
tempestivi, a garanzia della costante adeguatezza.
AGGIORNAMENTO
Capacità di determinare probabilità/gravità del rischio in relazione a:
Natura
Contesto
Finalità
Scala
Capacità di valutare il rischio presunto riguardo a interessi/diritti degli
interessati.
RISCHIO
Capacità di commisurare le misure tecnico/organizzative al
livello del rischio individuato.
ADEGUATEZZA
3 sfide
per le aziende
!
8. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Valutazione di adeguatezza
8
3
9. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Valutazione di adeguatezza
9
Il regolamento richiede al Titolare di effettuare valutazioni di adeguatezza
3 MISURE
1. ACCOUNTABILITY
2 RISCHIO
4 VALUTAZIONE DI ADEGUATEZZA
Ambito di applicazione materiale
Ambito di applicazione territoriale
Liceità del trattamento
Condizioni per il consenso
Esercizio dei diritti
Informativa
Diritto di accesso
Diritto di rettifica
Diritto alla cancellazione
Diritto di limitazione di trattamento
Obbligo di notifica a terzi destinatari
Diritto alla portabilità
Diritto di opposizione
Processo decisionale automatizzato
Responsabilità del titolare
By design e by default
Contitolari
Rappresentanti nello stato UE
Responsabile del trattamento
Trattamento sotto l’autorità
Registri del trattamento
Sicurezza del trattamento
Data breach
Notifica di data breach
DPIA
Consultazione preventiva
Designazione DPO
Posizione e compiti DPO
Codici di condotta
Certificazione
Trasferimenti di dati all’estero
Garanzie adeguate per trasferimenti
esteri
QUANDO?
10. @Ros_Imperiali
Valutazione di adeguatezza
10
Valutazione di adeguatezza ovunque nel GDPR
Per il livello di sicurezza da
garantire (art. 32).
SICUREZZA
Per la scelta delle misure
da attuare (artt. 6 e 24).
MISURE TECNICO-ORGANIZZATIVE
Per corretta informazione all’interessato e
facilitare esercizio diritti (artt. 12, 14 e 28).
TRASPARENZA
Per la scelta appropriata
dei responsabili (art. 28).
RESPONSABILI
Per conformità a prescrizioni in fase di progettazione
e per protezione dati come impostazione predefinita (art. 25).
BY DESIGN & BY DEFAULT
Altri casi sono la valutazione d’impatto, le decisioni automatizzate, la profilazione, il data breach.
3 MISURE
1. ACCOUNTABILITY
2 RISCHIO
4 VALUTAZIONE DI ADEGUATEZZA
11. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Apprezzamento del rischio
11
4
12. @Ros_Imperiali
Approccio basato sul rischio
12
Il Regolamento affianca alla modalità prescrittiva un’ampia disciplina tarata sul rischio.
Valutazione di adeguatezza
Dovuta in presenza di rischi elevati
(art. 35),
e se il rischio non è attenuato
scatta la consultazione preventiva al
Garante
Rischio
Probabilità/gravità riguardo a:
Natura, Ambito applicazione,
Contesto, Finalità trattamento
Sicurezza
È adeguata al rischio
(art. 32)
Data Breach
Le implicazioni
dipendono dal rischio
(artt.33/34)
Consultazione Preventiva
Dell’Autorità è dovuta
in presenza di rischi residui elevati
(art. 36)
3 MISURE
1. ACCOUNTABILITY
2 RISCHIO
4 VALUTAZIONE DI ADEGUATEZZA
Valutazione d’impatto
Focus nelle
prossime
slide !
13. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Gestione del rischio
data protection come soglia
13
RISCHIO
INCIDE SU
Obbligo di tenuta del
Registro trattamenti
(art. 30.5)
Rapporto
Titolare/Responsabile
[Considerando (81)]
Compiti del DPO
(art. 39.2)
Responsabilità
(art. 24)
Nomina del
Rappresentante nazionale
(art. 27)
3 MISURE
1. ACCOUNTABILITY
2 RISCHIO
4 VALUTAZIONE DI ADEGUATEZZA
!
14. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
By design ed Aree a rischio
elevato
14
5
15. 15
Senior Management
Business/IT Project
manager
GDPR team + DPO DPO
Inizio
mappatura
Inizio nuovo
progetto
Sintetizza caratteristiche
dell’area
Definisce requisiti di
progetto
Compila scheda
caratteristiche GDPR
Valuta l’impatto GDPR
critico
Convalida
Aggiorna il registro delle
verifiche
No, basso
Si, medio/ alto
Esegue DPIA con misure
di mitigazione
Compila scheda requisiti
GDPR
|
Definisce piano d’azione
alto
medio
Requisiti di area
/progetto definiti
Richiede GO a Sr MGT
per continuare
Gestisce piano d’azione
Go/
No Go
Si
No
stop
Il processo integrato di mappatura e by design
16. Valutazione d’impatto:
modalità operative
16
La pronta identificazione e la gestione dei rischi relativi alla protezione dei dati
Risoluzione gap potenziali in termini di compliance e sicurezza evitando, quindi, perdita di fiducia e
danni reputazionali
Principali benefici della DPIA
Fase 1
Si determina se sia necessaria la DPIA:
Raccolta di informazioni sul progetto
Decisione su ingaggio di stakeholder
Identificazione e valutazione del rischio
Identificazione opzioni per evitare o
mitigare il rischio
Fase 2
Preparazione del DPIA report
Stesura delle raccomandazioni
Monitoraggio raccomandazioni
3 MISURE
1. ACCOUNTABILITY
2 RISCHIO
4 VALUTAZIONE DI ADEGUATEZZA
DPIA
17. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Valutazione d’impatto:
Consultazione preventiva
17
Se DPIA attesta che, in assenza di misure,
meccanismi, garanzie di riduzione del rischio,
permangono rischi elevati, ragionevolmente
non mitigabili
Risponde entro 8+6 settimane al Titolare o
Responsabile per iscritto
TITOLARE
GARANTE
Rif::
(94)
Art. 36
3 MISURE
1. ACCOUNTABILITY
2 RISCHIO
4 VALUTAZIONE DI ADEGUATEZZA
Consultazione
preventiva
DPIA
19. GDPR – Identificazione e valutazione del rischio@Ros_Imperiali
Avv. Rosario Imperiali
Gruppo Imperiali
rosario.imperiali@imperiali.com
Ros_Imperiali
Rosario Imperiali
Rosario Imperiali
1 Con il GDPR si è passati dall’approccio prescrittivo a quello della
responsabilizzazione.
2
Accountability e sistema aziendale di compliance al GDPR sono
due facce della stessa medaglia.
3
Il GDPR richiede una diffusa valutazione di adeguatezza. Spetta
all’azienda valutare in autonomia l’impatto che l’uso dei dati
personali determina.
4
Tramite la valutazione, l’azienda Titolare adotta le misure
adeguate per il contenimento del rischio: quindi il rischio è il driver
della compliance.
5
Mappatura dei trattamenti e compliance in fase progettuale si
integrano vicendevolmente consentendo all’azienda di attuare
con efficacia il sistema interno di conformità.