I Rischi del GDPR: minacce ed opportunità. Dott. Glauco Bertocchi- CISM Roma 03 /12/2018

Documenti analoghi
MATERIALE DIDATTICO PILLOLA 8 COMPITI DEL TITOLARE: PRIVACY BY DESIGN E PRIVACY BY DEFAULT. in collaborazione con

Il nuovo regolamento europeo sulla privacy (GDPR): i nuovi adempimenti per la pubblica amministrazione, le imprese e le strutture sanitarie

Il nuovo modello di gestione della privacy Davide Grassano

Nuovi strumenti di accountability dei titolari. a cura di Giuseppe D Acquisto 17 Maggio 2018

Il registro dei trattamenti e la DPIA (Data Protection Impact

Necessità di un approccio sistemico

Processi, Tool, Servizi Professionali

Bologna 15 maggio La gestione del rischio privacy e l impatto sull organizzazione aziendale

IL CANTIERE GDPR APPROCCIO PER VALUTARE L ADEGUAMENTO ALLE NORME REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (REG.

GDPR Strumenti di supporto per la Governance. Davide Benvenga Roma 27/03/2018

Cybersecurity e Privacy oggi: normative e quotidianità

Valutazione d impatto e gestione integrata dei rischi

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

GDPR: il nuovo regolamento Privacy

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

Nuovo regolamento europeo sulla Privacy (N 679/2016/UE) - GDPR - In vigore dal 25 maggio Seminario informativo 06 Luglio 2018

D G R S S t u d i o L e g a l e V i a C h i o s s e t t o, M i l a n o ( I t a l i a ) T e l : T:

STUDIO LE PERA C O M M E R C I A L I S T I A S S O C I A TI

PREPARARSI ALLA NUOVA PRIVACY: CONOSCERE ED APPLICARE IL GDPR IN AZIENDA GESTIRE LA SICUREZZA INFORMATICA

GDPR: RESPONSABILITA E RESPONSABILIZZAZIONE

GDPR Il quadro normativo

FOGLIO INFORMATIVO SULLA PRIVACY. Regolamento UE sulla protezione dei dati personali Nr. 679/2016

regolamento UE 679/16

La normativa Europea sulla privacy

LE RESPONSABILITÀ: LA GARANZIA DELLA SICUREZZA DEI DATI

Seminario sul suo recepimento in ISS

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

Regolamento UE 2016/679by 2018

Delibera del Garante Privacy e DPIA

Kineo Energy e Facility S.r.l. Via dell Arcoveggio, Bologna (BO) Tel: Fax: C.F.-P.IVA-R.I.

Regolamento UE 2016/679 in materia di protezione dei dati personali

I PRINCIPI ALLA BASE DEL NUOVO RGDP. Dott.ssa Sabina Ponzio (CNR Ufficio Affari Istituzionali e Giuridici)

La gestione del rischio e l'approccio della soluzione RiS nell'ambito del nuovo Regolamento Europeo

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

Gestione della violazione dei dati (Data Breach)

Procedura DPIA. Procedura DPIA. Data Protection Impact Assessment. Regolamento UE 679/2016

istituendo per tempo un assetto programmatico e giuridico per l'economia dei dati

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

SMART WORKING TRA CONTROLLO A DISTANZA E PRIVACY GLI SMART DEVICE

GDPR Regolamento UE n. 2016/79: i necessari adeguamenti tra nuovi obblighi e nuove sanzioni

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

Privacy by Design: evoluzione e implicazioni

Adeguamento al GDPR: priorità e suggerimenti. Venezia, 14 novembre 2017

S u m m e r M e e t i n g 2018

Articolo 25 : Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

Regolamento Europeo n. 2016/679 sulla protezione dei dati personali Percorso di adeguamento

Valutazione d'impatto sulla protezione dei dati, in base alle previsioni del Regolamento (UE) 2016/679

DATA PROTECTION IMPACT ASSESSMENT. Tra obbligo e opportunità

COMUNE DI BORGONE SUSA CITTA METROPOLITANA DI TORINO

REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

COMUNE DI CORIANO PROVINCIA DI RIMINI

Mondi diversi e Sistemi Privacy univoci

Scelta del DPO e valutazione d impatto organizzativo

Violazione di dati personali ( Data breach ) INDICE

L ORGANIZZAZIONE AZIENDALE DEL SISTEMA DI DATA PROTECTION

Informativa per la clientela di studio

Misure di sicurezza tra NIS e GDPR: brevi appunti ed alcune semplici riflessioni

PROTEZIONE DEI DATI IN AMBITO SANITARIO CRISTINA DAGA

Istituto d Istruzione Superiore

Il trattamento di particolari categorie di dati da parte delle Agenzie di Viaggi: dati sensibili e giudiziari nel nuovo Regolamento Privacy 679/2016

A cura dell Avv. Federica Spuri Nisi

1. SCOPO E AMBITO DI APPLICAZIONE RUOLI PREVISTI UFFICI COINVOLTI... 6

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

Privacy in azienda: Il GDPR e l impatto sulle aziende

Il responsabile della protezione dei dati DATA PROTECTION OFFICER (DPO)

Il GDPR: inquadramento generale e cosa stanno facendo le Aziende

Il nuovo Regolamento europeo sulla protezione dei dati personali

IL GDPR. Introduzione alle novità del nuovo regolamento n. 679/2016 UE Pordenone Avvocato Alessandro Pezzot

SISTEMA PRIVACY E PROTEZIONE DEI DATI

Prof. ssa A. Busacca Università Mediterranea di Reggio Calabria. Data protection prospettive e novità tra GDPR e strumenti rimediali interni

Prof. ssa A. Busacca Università Mediterranea di Reggio Calabria. Data protection prospettive e novità tra GDPR e strumenti rimediali interni

LE NOVITÀ DEL GDPR E GLI IMPATTI PER LE AZIENDE

POLITICA SULLA PROTEZIONE DEI DATI PERSONALI

Dal Codice della Privacy al Regolamento Europeo: COSA CAMBIA

interessati (al trattamento) invece siamo

Procedura di gestione delle violazioni di dati personali (Data Breach)

Il Regolamento UE 2016/679 in materia di protezione dei dati personali e valutazioni d impatto

I processi di innovazione e trasformazione digitale e il GDPR

Il GDPR e le opportunità offerte dalle soluzioni di sicurezza gestita

Tutelate: Le persone fisiche. Oggetto di tutela: I dati Personali. Categoria di dati particolari Dati Identificativi

Regolamento UE 2016/679, GDPR: Data Breach - adempimenti

Il decreto legislativo n. 101/2018: considerazioni nell ottica di un privacy e/o security manager

Fiscal Approfondimento

Ministero dell Istruzione, dell Università e della Ricerca Ufficio Scolastico Regionale per il LAZIO I.I.S."G.Marconi Via Reno snc Latina

IL NUOVO REGOLAMENTO EUROPEO SULLA PRIVACY IL RUOLO DELLA PUBBLICA AMMINISTRAZIONE. Roma 16 dicembre 2016 Francesco Modafferi

DELIBERA DELL AMMINISTRATORE UNICO N.116 DEL 07/02/2019

Il Regolamento Generale sulla Protezione dei Dati personali

PRIVACY 2018 DATA PROTECTION REGOLAMENTO UE 2016/679 SICUREZZA UE CENSIMENTO OBLIO DATABREACH REGOLAMENTO PSEUDONOMIZZAZIONE CONSENSO ESTRAZIONE

STANDARD PER LA GESTIONE DEI RAPPORTI TRA TIROLARE E RESPONSABILE DEL TRATTAMENTO - VERSIONE 1.0

PRINCIPALI CONTENUTI DEL REGOLAMENTO PRIVACY (UE) Regolamento (UE) 2016/679 DEFINIZIONI

Daniele Gombi IL SISTEMA DI GESTIONE DELLA SICUREZZA DELLE 4 INFORMAZIONI: UNA "NECESSARIA" OPPORTUNITÀ

Sicurezza ICT: Aspetti legali, privacy (GDPR) e responsabilità

ALLEGATO N.1) AL C.E.ed C. DI TE.RI. SRL SEZIONE 5 ART. 5.4 SEZ. Principi Generali compiti part. del Resp. lett. a)

General Data Protection Regulation UE 2016/679

LA PROTEZIONE DEI DATI PERSONALI. Il GDPR tra obblighi di adeguamento e sanzioni

LA NUOVA DISCIPLINA SULLA PRIVACY PREVISTA DAL REGOLAMENTO UE 679/2016

Il Dottore Commercialista e la privacy

Chiunque ha diritto alla protezione dei dati personali che lo riguardano

LA NUOVA NORMATIVA PRIVACY: L IMPATTO DEL REGOLAMENTO UE 2016/679 NEGLI STUDI PROFESSIONALI

Transcript:

I Rischi del GDPR: minacce ed opportunità Dott. Glauco Bertocchi- CISM Roma 03 /12/2018

Agenda Presentazione relatore I presupposti dell analisi del rischio secondo il GDPR Gli strumenti di analisi del rischio di origine GDPR Necessità di integrazione con gli standard Bibliografia & sitografia Q&A 2

Agenda Presentazione relatore I presupposti dell analisi del rischio secondo il GDPR Gli strumenti di analisi del rischio di origine GDPR Necessità di integrazione con gli standard Bibliografia & sitografia Q&A 3

Presentazione relatore Glauco Bertocchi Esperienza più che ventennale nel campo ICT Esperienza più che ventennale nel campo della security Numerose docenze universitarie e ad organizzazioni statali Autore o coautore di numerose pubblicazioni in campo ICT e security Ha svolto e svolge consulenze professionali in ambito sicurezza Valutatore dei progetti di ricerca ed innovazione FP7 (2007) e H2020 (2014) Vicepresidente di ISACA Roma Membro del CD dell Associazione Italiana Esperti Infrastrutture Critiche (AIIC) Certificato: CISM dal 2003, LA 27001, Membro OdV d.lgs. 231/2001 4

Agenda Presentazione relatore I presupposti dell analisi del rischio secondo il GDPR Gli strumenti di analisi del rischio di origine GDPR Necessità di integrazione con gli standard Bibliografia & sitografia Q&A 5

I presupposti dell analisi del rischio secondo il GDPR (1) Tutto ha origine dai considerando 75, 76, 77, 83 e 84 (75) I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse, possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l'esercizio del controllo sui dati personali che li riguardano; se sono trattati dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza; in caso di valutazione di aspetti personali, in particolare mediante l'analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali; se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori; se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati. (76) La probabilità e la gravità del rischio per i diritti e le libertà dell'interessato dovrebbero essere determinate con riguardo alla natura, all'ambito di applicazione, al contesto e alle finalità del trattamento. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva mediante cui si stabilisce se i trattamenti di dati comportano un rischio o un rischio elevato. ISO22301 6

I presupposti dell analisi del rischio secondo il GDPR (2) (77) Gli orientamenti per la messa in atto di opportune misure e per dimostrare la conformità da parte del titolare del trattamento o dal responsabile del trattamento in particolare per quanto riguarda l'individuazione del rischio connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e l'individuazione di migliori prassi per attenuare il rischio, potrebbero essere forniti in particolare mediante codici di condotta approvati, certificazioni approvate, linee guida fornite dal comitato o indicazioni fornite da un responsabile della protezione dei dati. Il comitato può inoltre pubblicare linee guida sui trattamenti che si ritiene improbabile possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche e indicare quali misure possono essere sufficienti in tali casi per far fronte a tale rischio. 83) Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell'arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere. Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale. (84) Per potenziare il rispetto del presente regolamento qualora i trattamenti possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dovrebbe essere responsabile dello svolgimento di una valutazione d'impatto sulla protezione dei dati per determinare, in particolare, l'origine, la natura, la particolarità e la gravità di tale rischio. L'esito della valutazione dovrebbe essere preso in considerazione nella determinazione delle opportune misure da adottare per dimostrare che il trattamento dei dati personali rispetta il presente regolamento. 7

I presupposti dell analisi del rischio secondo il GDPR (3) E poi dagli articoli 24, 25, 32, 35 Articolo 24 Responsabilità del titolare del trattamento 1.Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. Articolo 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 8

I presupposti dell analisi del rischio secondo il GDPR (4) Articolo 32 Sicurezza del trattamento 1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:..d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 2.Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Articolo 35 Valutazione d'impatto sulla protezione dei dati 1.Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi. Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679 (WP248) 9

I presupposti dell analisi del rischio secondo il GDPR (5) In sintesi: Approccio basato sui diritti fondamentali (considerando 1 del GDPR) La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale. L'articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell'unione europea («Carta») e l'articolo 16, paragrafo 1, del trattato sul funzionamento dell'unione europea («TFUE») stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. Rischi per i diritti e le libertà dell'interessato derivanti dal trattamento dei dati personali 2 categorie : rischio e rischio elevato Accountability del titolare e dell eventuale responsabile del trattamento: analisi dei rischi e misure di protezione sono essenziali per ridurre la responsabilità I classici strumenti usati per l analisi del rischio potrebbero avere necessità di integrazione 10

Agenda Presentazione relatore I presupposti dell analisi del rischio secondo il GDPR Gli strumenti di analisi del rischio di origine GDPR Necessità di integrazione con qli standard Bibliografia & sitografia Q&A 11

Gli strumenti di analisi del rischio di origine GDPR (1) Sinora non ci sono strumenti specifici ad eccezione Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679 (WP248) in cui si raccomanda I titolari del trattamento dovrebbero considerare la realizzazione di una valutazione d'impatto sulla protezione dei dati come un'attività utile e positiva che contribuisce alla conformità giuridica. Consta di due interessanti allegati : Allegato 1 - Esempi di quadri UE esistenti di valutazione d'impatto sulla protezione dei dati Il regolamento generale sulla protezione dei dati non specifica quale processo di valutazione d'impatto sulla protezione dei dati debba essere seguito, ma consente piuttosto ai titolari del trattamento di introdurre un quadro che integri le loro pratiche di lavoro esistenti, - DE: modello per la protezione dei dati standard, V.1.0 - versione di prova, 201631. https://www.datenschutzzentrum.de/uploads/sdm-methodology_v1_en1.pdf; - ES: Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD), Agencia española de protección de datos (AGPD), 2014. https://www.agpd.es/portalwebagpd/canaldocumentacion/publicaciones/common/guias/guia_eipd.pdf; - FR: Privacy Impact Assessment (PIA), Commission nationale de l'informatique et des libertés (CNIL), 2015. https://www.cnil.fr/fr/node/15798; - UK: Conducting privacy impact assessments code of practice, Information Commissioner's Office (ICO), 2014. https://ico.org.uk/media/for-organisations/documents/1595/pia-code-of-practice.pdf; 12

Gli strumenti di analisi del rischio di origine GDPR (2) Allegato 2 - Criteri per una valutazione d'impatto sulla protezione dei dati accettabile Il WP29 propone i seguenti criteri che i titolari del trattamento possono utilizzare per stabilire se sia richiesta una valutazione d'impatto sulla protezione dei dati o meno oppure se una metodologia per lo svolgimento di una tale valutazione sia sufficientemente completa per garantire il rispetto del regolamento generale sulla protezione dei dati: Per l analisi dei rischi: l'origine, la natura, la particolarità e la gravità dei rischi (cfr. considerando 84) o, più in particolare, per ciascun rischio (accesso illegittimo, modifica indesiderata e scomparsa dei dati) vengono determinate dalla prospettiva degli interessati: si considerano le fonti di rischio (considerando 90); sono individuati gli impatti potenziali per i diritti e le libertà degli interessati in caso di eventi che includono l'accesso illegittimo, la modifica indesiderata e la scomparsa dei dati; sono individuate minacce che potrebbero determinare un accesso illegittimo, una modifica indesiderata e la scomparsa dei dati; sono stimate la probabilità e la gravità (considerando 90); sono determinate le misure previste per gestire tali rischi (articolo 35, paragrafo 7, lettera d) e considerando 90); 13

Gli strumenti di analisi del rischio di origine GDPR (3) La protezione dei dati personali secondo il GDPR presuppone una serie di valutazioni che riguardano il trattamento e sono orientate a definire in modo adeguato il contesto di provvedimenti a tutela dei diritti degli interessati, l analisi dei rischi è una delle fasi. I criteri e la metodologia per la valutazione d impatto includono anche l analisi dei rischi e sono senz altro utili per tale fase anche nel caso non si debba effettuare una DPIA. Usare uno strumento per la DPIA (ad esempio quello francese che ha una versione italiana) consente di fare un analisi rischi che tenga conto di tutti i criteri che il GDPR richiede. 14

Gli strumenti di analisi del rischio di origine GDPR (4) L ENISA ( European Union Agency For Network and Information Security) ha dedicato una pubblicazione (dic 2016) in cui fornisce delle indicazioni su come affrontare le problematiche della sicurezza nelle SME, non ha forse il valore di un codice di condotta (considerando 77) ma fornisce un approccio esemplificato per tutte quelle aziende (tipicamente SME) che non sempre hanno la capacità tecnica ed economica per gestire tutti gli aspetti del GDPR. L analisi del rischio è così sintetizzata 3. Assessing security risks for personal data 3.1 Step 1: Definition of the processing operation and its context 3.2 Step 2: Understanding and evaluating impact 3.2.1 Levels of impact 3.2.2 How to evaluate impact 3.2.3 Evaluation of impact 3.3 Step 3: Definition of possible threats and evaluation of their likelihood 3.3.1 How to define the threats and their likelihood 3.3.2 Evaluation of threat occurrence probability Step 4: Evaluation of risk 15

Agenda Presentazione relatore I presupposti dell analisi del rischio secondo il GDPR Gli strumenti di analisi del rischio di origine GDPR Necessità di integrazione con gli standard Bibliografia & sitografia Q&A 16

Necessità di integrazione con gli standard (1) Gli standard utilizzati per l analisi dei rischi sono diversi, tra essi: ISO/IEC 29134 Privacy Impact Assessment ISO 29151 Code of practice for Personally Identified Information protection ISO 27005 Information Security Management System-Information security risk management ISO 31000:2009, Risk management Principles and guidelines Gli standard utilizzati in ambito Information security (ISO 27001) sono sicuramente utili per la gestione della sicurezza dei dati personali ma è necesssaria un integrazione per gli aspetti propri del GDPR Quando l EDPB fornirà delle indicazioni (considerando 77) forse si potrà seguire uno schema che facility la road map per tutte quelle aziende che già utilizzano un ISMS (Information Security Management System) 17

Necessità di integrazione con gli standard (2) Il GDPR, con tutte le sue integrazioni legislative locali (vedi dlgs 101/2018) nonchè i provvedimenti delle Autority (europea e nazionale) costituiscono un corpus di norme con sanzioni (anche penali in Italia) perchè riguardano la tutela di diritti fondamentali. Gli standard (ISO, Enisa, NIST, ecc.) sono normative per cui è prevista l adesione volontaria e la violazione delle disposizioni comporta al massimo la perdita di una certificazione (qualora esistente) E evidente che l adozione di standard ISO può semplificare l adozione di misure idonee ma, salvo il riconoscimento di EDPB, questo non significa che siano automaticamente riconosciute come adeguate 18

Agenda Presentazione relatore I presupposti dell analisi del rischio secondo il GDPR Gli strumenti di analisi del rischio di origine GDPR Necessità di integrazione con gli standard Bibliografia & sitografia Q&A 19

Bibliografia e sitografia Garante italiano https://www.garanteprivacy.it/ Garante Europeo (EDPB) https://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360 ENISA Guidelines for SMEs on the security of personal data processing december 2016 https://www.enisa.europa.eu/publications/guidelines-for-smes-on-the-security-of-personal-dataprocessing/at_download/fullreport REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, Gazzetta ufficiale dell'unione europea. L119 4 maggio 2016 https://eurlex.europa.eu/oj/direct-access.html?locale=it Privacy and Data Protection by Design pubblicato da ENISA https://www.enisa.europa.eu/ Dlgs101/2018 10 agosto 2018 Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, http://www.gazzettaufficiale.it/ DECRETO LEGISLATIVO 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali ((, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE)). http://www.normattiva.it/ 20

Q&A? 21

Contatti g.bertocchi@isacaroma.it Grazie... 22

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back