PROTEZIONE DEI DATI: QUALE RUOLO PER LA CERTIFICAZIONE? ARMANDO ROMANIELLO DIRETTORE MARKETING, INDUSTRY MANAGEMENT E CERTIFICAZIONE DI PRODOTTO CERTIQUALITY
Certiquality è
18000 GIORNATE Carico DI AUDIT
SICUREZZA DELLE INFORMAZIONI Data integrity Cybersecurity Data protection e Privacy Temi che in molti casi possono essere intercorrelati
PREMES SA Carico Parliamo di certificazione: il regolamento la prevede espressamente Parleremo di Standard perchè gli standard «muovono il mondo» il Regolamento (UE) 2016/679 riguarda il trattamento e la libera circolazione dei dati personali
un esempio di uno STANDARD ISO che ha «mosso» veramente il mondo Fonte: Gerundino, ISO
Fonte: Gerundino, ISO Impatto assolutamente significativo in termini di crescita del business Nel caso dell introduzione dei container si calcola ci sia stato 98,5% di riduzione dei giorni uomo necessari per il carico/scarico delle navi
Analogamente, ora ci viene richiesta una «privacy by design» che tenga conto dei vincoli di privacy e data protection fin dalla progettazione del processo aziendale e degli applicativi informatici di supporto. Questo nuovo processo: un occasione di chiarimento e semplificazione di flussi esistenti VEDIAMO ORA COME: - LA NORMAZIONE VOLONTARIA (GLI STANDARD) - L ACCREDITAMENTO - E LA CERTIFICAZIONE ENTRANO NEL REGOLAMENTO
Articolo 40 - Codici di condotta Gli Stati membri incoraggiano l'elaborazione di codici di condotta. Le associazioni rappresentanti le categorie di titolari del trattamento possono elaborare i codici di condotta Articolo 41 - Monitoraggio dei codici approvati Il monitoraggio può essere effettuato da un organismo competente, indipendente ed accreditato
Articolo 42 - Certificazione 1. Gli Stati membri incoraggiano l'istituzione di meccanismi di certificazione della protezione dei dati 3. La certificazione è volontaria e accessibile tramite una procedura trasparente. 5. La certificazione ai sensi del presente articolo è rilasciata dagli organismi di certificazione di cui all'articolo 43 o dall'autorità di controllo competente in base ai criteri approvati da tale autorità di controllo competente..
Articolo 43 Organismi di certificazione Gli Stati membri garantiscono che tali organismi di certificazione siano accreditati da uno o entrambi dei seguenti organismi: Carico a) dall'autorità di controllo competente ai sensi degli articoli 55 o 56; b) dall'organismo nazionale di accreditamento Gli organismi di certificazione sono responsabili della corretta valutazione e trasmettono all'autorità di controllo competente i motivi del rilascio o della revoca della certificazione richiesta.
Articolo 83 - Condizioni generali per infliggere sanzioni amministrative pecuniarie Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi: natura, gravità, durata della violazione, oggetto o finalità del trattamento, numero di interessati lesi dal danno e livello di danno subito,.... l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42
QUALCHE ANALOGIA D.LGS. 231/01 PER IL PESANTE SISTEMA SANZIONATORIO D.LGS. 81/08 PER LA VASTA PORTATA DEI SOGGETTI INTERESSATI MECCANISMI ESIMENTI
STANDARD ESISTENTI ISO 27001:2013 - Information security management systems - Requirements Applicabile a realtà di ogni dimensione Quasi 20 anni di esistenza sul mercato Ambito definibile a piacimento Approccio ciclico (PDCA) Costituisce un framework completo Dice cosa fare, non come farlo Rivolto al miglioramento continuo È un riferimento universale e certificabile A disposizione la suite della famiglia 27000
STANDARD ESISTENTI ISO 27001:2013 ISMS Control Point and Control Objective Summary A5 Information security policies 2 A6 Organization of information security 7 A7 Human resource security 6 A8 Asset management 10 A9 Access control 13 A10 Cryptography 2 A11 Physical and environmental security 15 A12 Operations security 14 A13 Communications security 7 A14 System acquisition, development and maintenance 13 A15 Supplier relationships 5 A16 Information security incident management 7 A17 Information security aspects of business continuity management 4 A18 Compliance 8
STANDARD ESISTENTI BS 10012:2017 - Data protection - Specification for a personal information management system Sostituisce la versione del 2009 Many of these changes are as a result of the GDPR requirements. Implementing BS 10012 will support many organisations in their implementation of an appropriate Information Governance strategy. It will also help in protecting the organisation from the fear of significant fines and reputational damage following GDPR non-compliance, as well as helping to reduce the actual cost of recovery following privacy breaches. This standard defines the rules for the implementation of a Personal Information Management System compliant with the GDPR and the organization could be implement an integrated management system between standards (first of all ISO/IEC 27001:2013 and ISO 9001:2015). The BS 10012:2017 Specification for a personal information management system is a specification standard and an organization could be certified to this standard.
STANDARD IN LAVORAZIONE ISO/IEC AWI 27552 Information technology -- Security techniques -- Enhancement to ISO/IEC 27001 for privacy management -- Requirements Descrizione: Sistema di Gestione per la protezione dei dati personali, basata sui controlli ISO 27001 Data di Pubblicazione: 2018 È ora in fase di pubblicazione la norma internazionale ISO/IEC 29134 dal titolo Privacy Impact Assessment Methodology Nel prossimo futuro (indicativamente a fine 2017) sarà pubblicata la norma ISO/IEC 29151 dal titolo Code of practice for personally identifiable information protection.
CERTIFICAZIONE DELLE PERSONE (delle competenze) Il Regolamento prevede, all art. 37, l obbligo di nomina del Data Protection Officer (Responsabile della Protezione dei dati) nei seguenti casi: - Pubbliche Amministrazioni - Trattamento di dati particolari (ex sensibili) e giudiziari su la larga scala da parte di Titolari o Responsabili del trattamento quali loro attività principale (es. Sanità Selezione del personale ecc.) - Trattamenti che richiedono un monitoraggio sistematico e su larga scala sugli interessati da parte di Titolari o Responsabili del trattamento quali loro attività principale (es. profilazione on line).
CERTIFICAZIONE DELLE PERSONE (delle competenze) La Certificazione delle Competenze è un valido strumento per i Professionisti che intendono attestare possesso dei requisiti professionali necessari e sufficienti per operare in un determinato settore di attività. La Certificazione delle Competenze rispetta le fondamentali caratteristiche di: - Indipendenza - Trasparenza - Imparzialità
COS TI PER IMPLEMENTARE IL SISTEMA DI GESTIONE, LE PROCEDURE, LA FORMAZIONE, ETC. PER LA CERTIFICAZIONE
Siamo di fronte a sfide estremamente complesse per le singole aziende Today s challenges require broad supply-chain alignment around the world, This alignment is the only sensible way to make any progress. In today s interconnected ecosystem, standards can enable new growth and innovation for challenges that are too large for any company to solve by itself. Steven Schulz, President and CEO, Si2
L operare senza regole è il più faticoso e difficile mestiere di questo mondo (Alessandro Manzoni, Storia della colonna infame, 1840)
Ing. Armando Romaniello Direttore Marketing, Industry Management e Certificazione di Prodotto a.romaniello@certiquality.it 335 1689053 www.certiquality.it