Definire la salute, definire le malattie e le condizioni ...
Definire le politiche diwin.delfanti.net/df/Guide/GDPR/GDPR_TD_guida_gdpr_td.pdf · reti...
36
Transcript of Definire le politiche diwin.delfanti.net/df/Guide/GDPR/GDPR_TD_guida_gdpr_td.pdf · reti...
2
Manca poco! Poi dal 25 maggio 2018, il GDPR, il nuovo regolamento europeo per la gestione e protezione di dati e privacy entrerà in vigore in Italia.
Negli ultimi mesi se ne sono dette di ogni tipo: dagli allarmi, al terrore per le sanzioni in arrivo per chi non sarà in regola fino a consigli di ogni tipo su come e se prepararsi. E’ tempo di fare ordine, a pochi mesi dalla data fatidica è tempo di regole, definizioni. E’ tempo di poche indicazioni, precise come quelle scritte, a quattro mani, da uno dei più importanti legali italiani in materia di diritto informatico e da un giornalista tecnologico con una lunga esperienza alle spalle.
Un decalogo, senza precedenti, che a pochi mesi dal D-Day associa i punti chiave della nuova normativa alle migliori soluzioni e tecnologie che un reseller, system integrator, sviluppatore può provare a mettere a disposizione dei suoi clienti.
Non una semplice guida dunque ma una opportunità di business che, in 10 semplici mosse, si propone di accompagnare tutti coloro che vivono di innovazione verso progetti e relazioni ad elevato tasso di valore con i propri clienti
Mossa 1GDPR: chi, cosa, dove, come, perché, quanto costa
Mossa 2Capire a che punto è il cliente
Mossa 3Creare un registro dei dati e del loro trattamento
Mossa 4Stesura della documentazione e definizione piano
Mossa 5Individuare le responsabilità e i ruoli
Mossa 6Definire le politiche di sicurezza, valutare i rischi
Mossa 7Processo di Data Breach
Mossa 8Come si proteggono i dati personali?
Mossa 9Gestire la portabilità dei dati e il diritto all’oblio
Mossa 10La figura del DPO
SOMMARIO
INDICE
2
·
·
Spendere troppe parole senza saperne il reale significato alle
volte più che poco utile è dannoso. E allora, mai come nel caso del GDPR, in cui ci sono in ballo, oltre che dati e informazioni critiche e private, anche discrete quantità di denaro, vale la pena di andare con ordine.
Ma cosa vuol dire GDPR?GDPR vuol dire General Data Protection Regulation (GDPR). Di fatto si tratta della più importante presa di posizione ufficiale dell’Unione Europea di fronte alla esplosione delle tecnologie digitali e, soprattutto, al ruolo sempre più esteso e dirompente che stanno assumendo nella nostra vita di tutti i giorni. Quello che non tutti
sanno è che il GDPR è già attualmente in vigore, dato che è stato definito dagli stati membri nell’aprile del 2016. Il 25 maggio 2018, semplicemente, diventerà applicabile in Italia e andrà ad abrogare la direttiva 1995/46 e le Autorizzazioni Generali dell’Autorità Garante (ovviamente italiana). Al contrario non decadranno i provvedimenti dell’Autorità Garante, gli Accordi Internazionali sul trasferimento dei dati e le Decisioni della Commissione UE. Pur essendo un regolamento UE, il GDPR comunque
si applica a qualsiasi organizzazione che raccolga dati personali di residenti dell’UE, indipendentemente dalla sua ubicazione fisica.
GDPR, ma quando e quale è davvero l’obiettivo?Intanto una precisazione chiave, la data del 25 maggio 2018 non sarà negoziabile, come detto si tratta di una normativa Europea, non italiana e, come tale rispetta una roadmap di entrata in funzione che non prevede posticipi.Obiettivo del nuovo regolamento è garantire che
Dire e fare il GDPR in 10 mosse
Mossa n. 1
GDPR: chi, cosa, dove, come, perché, quanto costa
Prima di partire per un lungo viaggio, prima di prendere treni troppo veloci… prima di tutto, la prima Mossa per “Dire” e “Fare” il GDPR è “capire” cosa è davvero il GDPR. Un quadro di insieme, la normativa, il DNA, il percorso di sviluppo, i principali cambiamenti in arrivo e le risorse da investire.
“
3
4
nel processo di raccolta e gestione degli infinti dati personali che interessa software, server, strumenti tecnologici di uso quotidiano, sia integrata un’adeguata protezione dei dati stessi “per impostazione predefinita fin dalla progettazione”. Ciò ha inizio con una raccolta limitata ai dati minimi necessari per una finalità specifica e con la cancellazione dei dati quando non sono più necessari. In pratica una “legge” che regola come, dove, quanto e quando immagini, nomi, cognomi, carte di credito, identità... viaggiano lungo reti informatiche, sistemi di posta, CRM, gestionali, server, sistemi storage.
I dati sono miei e me li porto dove voglio...Oltre al quadro generale in cui si inserisce e agli obiettivi di massima che si pone, il GDPR introduce novità di grande impatto e molto precise. Una di queste è quella che vede la fonte dei dati personali come il proprietario di tali dati. Sembra una banalità ma in qualità di proprietario, l’interessato deve avere la possibilità di revocare
il proprio consenso alla raccolta dei dati con la stessa facilità con la quale ha concesso l’autorizzazione. L’interessato ha inoltre il “diritto all’oblio” e ad acquisire i propri dati personali. Il GDPR definisce poi le condizioni che richiedono l’invio di una notifica in caso di violazione dei dati e prevede due livelli di sanzioni a seconda della gravità della violazione.
La responsabilità dei partnerIn considerazione dei rapidi cambiamenti tecnologici, il GDPR attribuisce inoltre l’onere di una “valutazione continuativa dei rischi” all’organizzazione che raccoglie i dati (il titolare del trattamento) e richiede la conformità al regolamento di qualsiasi organizzazione esterna che tratti i dati (responsabile del trattamento). Punto questo che mette al centro e a fuoco il ruolo, nuovo e sempre più “critico”, per tutte quelle realtà, dai system integrator ai reseller sul territorio che supportano le aziende con servizi cloud, per esempio, servivi di gestione della posta elettronica...
Garante per la protezione dei dati
personali: la normativa
CONTINUA...
4
GDPR quanto mi costi… ma soprattutto quanto mi spaventiPer la maggior parte delle imprese, le implicazioni sono rilevanti e di ampia portata, con la necessità di cambiamenti che coinvolgono i flussi di elaborazione dei dati, la struttura organizzativa, i processi aziendali, fino, come detto, alle tecnologie informatiche e di sicurezza. Non c’è un costo preciso e quantificabile collegato all’adeguamento al GDPR ma c’è, invece, una roadmap di adeguamento molto precisa per arrivare pronti all’appuntamento con maggio 2018. Una roadmap che questa guida ha l’ambizione di sintetizzare in 10 mosse chiave.Sempre in tema costi comunque il punto su cui più si sta discutendo in questa fase, spesso facendo ingiustificato terrorismo, sono i suoi criteri più rigorosi, gli obblighi aggiuntivi e soprattutto le sanzioni per mancata conformità più elevate (il valore più grande tra il 4% del fatturato mondiale e 20 milioni di euro) che lo stesso GDPR introduce. Temi che oltre al panico fanno
indubbiamente aumentare sia l’impegno richiesto per il raggiungimento della conformità, sia i rischi associati alla mancata conformità.
5
6
·
·
Confrontarsi con gli obblighi previsti dal GDPR per un cliente,
un manager, una impresa di ogni forma e dimensione vuol dire, prima di tutto, valutare e raccogliere tutte le informazioni sulla propriaorganizzazione aziendale analizzando e valutando ladocumentazione in uso e le scelte di adeguamentonormativo fatte in passato. In questa fase è giàpossibile capire il livello di conformità o meno rispettoalla nuova legge. In caso, come spesso staaccadendo proprio in questi giorni, emergessero varielacune e diverse aree di miglioramento per cercare dievitare le sanzioni, il cliente
andrebbe accompagnato prima di tutto lungo la
definizione diun percorso
Dire e fare il GDPR in 10 mosse
Mossa n. 2
Capire a che punto è il clienteBuona riuscita di un percorso di adeguamentorapido, pratico e soprattutto efficace al GDPR è tutta legata alla prima e forse più importante delle mosse da fare in attesa del prossimo 25 maggio 2018.L’analisi delle scelte fatte e dello stato dell’arte di una impresa è la base da cui non è possibile scappare
“di intervento capace di identificare tuttele procedure interne di adattamento.
Analisi e definizione del piano di adattamento, due lefasi chiaveIl piano di analisi della situazione di un cliente e,soprattutto, del piano di intervento e adeguamento sisviluppa in due fasi:Prima fase - identificazione, comprensione eclassificazione dei requisiti normativi indicati nelregolamento stesso (cosa possibile anchemonitorando l’uscita di disposizioni o linee guida da
parte delle diverse Autorità competenti).Seconda fase – Compiere un’attenta analisi del contesto in cui il proprio cliente si trova ad operare (settore di business, anche dal punto di vista del trattamento dei dati personali che una specifica attività richiede).Non solo, serve la capacità di raccogliere e analizzaretutta la documentazione organizzativa, tecnologica elegale disponibile: informative, moduli di consenso, mappatura delle applicazioni e dei servizi utilizzati, censimento data processor e via così).
6
·
·
Pre-Audit,Risk Assessment & Risk management
MOSSA 2, su quali soluzioni costruire del businessLa mossa 2 di questa piccola guida è anche unapreziosa opportunità di business per un reseller, nelsupportare il cliente in questa delicata fase di analisi può proporre soluzioni e tecnologie strategiche come:software di monitoraggio, assessment, analisi parcoinstallato e delle licenze
Fatta la prima doverosa mossa per capire, in linea dimassima, il campo da gioco in cui si accinge a scendereun’impresa, vale ora la pena di entrare nel vivo dellaguida e soprattutto della roadmap di adeguamento
CONTINUA...
7
8
·
·
Dopo avere capito e mappato la situazione, attuale, del proprio
cliente ecco che la procedura di adeguamento al GDPR entra nel vivo. Una procedurache, come detto, in questa Guida abbiamo immaginato nella maniera più concreta e immediata possibile. Passare dal dire al fare con la GDPRroadmap vuol dire dunque andare sulla creazione delfondamentale Registro dei Trattamenti.
Il registro dei trattamenti, ovvero dove, come eperché transitano le informazioniCome sempre, prima di tutto le definizioni: il registrodei trattamenti, disciplinato
dall’art 30 del Regolamento, è un
documento che
Dire e fare il GDPR in 10 mosse
Mossa n. 3
Creare un registro dei datie del loro trattamento
La terza mossa da fare per scacciare la paura del 25 maggio trasformandola in opportunità di business, è quella che riguarda la creazione di un registro dei dati. Una fase davvero critica. Una fase durante la quale si va a caprie quali e come sono le operazioni che gestiscono e trattano i dati del titolare
“punta a tenere traccia delle operazioni di trattamento, manco a dirlo, effettuate.
Il documento deve contenere i dati del titolare edegli eventuali responsabili, le finalità del trattamentodelle informazioni, una descrizione delle categorie diinteressati e dei dati personali, i destinatari, glieventuali trasferimenti verso Paesi Terzi e unadescrizione generale delle misure di sicurezzaadottate. Non solo, il registro ha anche una valenza di carattere probatorio. Questo vuol dire che attraverso lui il titolare del trattamento
deve poter dimostrare di avere seguitotutte le prescrizioni del GDPR nell’ambito del generale concetto di ACCOUNTABILITY ovvero della responsabilità legata alla gestione delle informazioni.
Perché il registro?La creazione di un simile registro è posta con forza alcentro del GDPR dagli autori della normativa. Si trattainfatti di uno strumento molto operativo e di lavoroattraverso il quale è possibile censire ordinatamente itrattamenti e gli altri elementi rilevanti. Un passaggio questo chiave per
8
·
·
MOSSA 3, su quali soluzioni costruire del businessLa mossa 3 di questa piccola guida è anche unapreziosa opportunità di business per un reseller, nelsupportare il cliente in questa delicata fase di analisi può proporre soluzioni e tecnologie strategiche come:tool di analisi dei processi, software per la tenuta delregistro dei trattamenti, soluzioni GRC, soluzioni di data protection, analisi dei dati e del loro ciclo di vita.
Gestione datia 360° per il GDPR
tutti i reseller e systemintegrator che vogliono accompagnare i propri clientiverso il 25 maggio 2018 partendo da una rassicurazione in tema di corretta gestione dei datipersonali.
Ma è sempre obbligatorio il registro?Il registro dei trattamenti deve contenere una serie didati obbligatori imposti dal GDPR ma può comprendereanche elementi aggiuntivi che risulteranno utili sia per lo svolgimento delle fasi successive del piano diadeguamento al GDPR sia per il lavoro di chi si dovràoccupare della materia privacy, compreso il DPO, Data Protection Officer (Vedi la MOSSA numero 10). Un tema importante per reseller e clienti è poi legato al fatto che lo stesso registro non è previsto, obbligatoriamente, per le imprese con meno di 250 dipendenti, eccezion fatta per alcuni casi specifici, ad esempio qualora iltrattamento dei dati possa presentare un rischio per idiritti e le libertà dell’interessato
CONTINUA...
9
10
·
·
La quarta “mossa” alla base di questa guida pratica è anche
una mossa che assume una valenza abbastanza trasversale rispetto a tutto il nuovo regolamento.
Nel momento in cui si entra nella sfera dei datipersonali, privati, nelle identità delle persone, dei clienti e del loro business ecco che, inevitabilmente, lastesura e la modifica della documentazione diventaelemento critico.Un elemento dal quale può dipendere la buona e lacattiva sorte di un
corretto processo di adeguamento.
Dire e fare il GDPR in 10 mosse
Mossa n. 4
Stesura della documentazione e definizione piano
E siamo alla quarta mossa da fare assolutamente, sulla strada del GDPR. Andando ad impattare su elementi critici della vita aziendale, (informazioni sulle persone, sul business…) diventa vitale il processo di stesura e modifica della documentazione.Da esso dipende anche la capacità di affrontare, serenamente, eventuali controlli
“L’opportunità dei documentiIl partner che si farà trovare pronto con indicazioni precise e semplici intorno alla stesura e alla raccolta della documentazione per essere a norma e, soprattutto, per affrontare serenamente eventuali controlli, avrà tra le mani ottime opportunità dicostruire un business di valore. Il GDPR è una normativa che regola dati e che si basa sui dati e sui documenti.Una banale constatazione, ma solo fino ad un certopunto quando si parla di responsabilità.
Documentazione,come, dove, perchéDalle parole ai fatti, è importante che ladocumentazione risulti sempre completa ed aggiornata secondo le prescrizioni del regolamento (solo come esempio è bene ricordare che il GDPR impone che le informative abbiano un contenuto più ampio rispetto a quanto stabilito dalla vigente normativa).
Quale documentazionePer fare ordine comunque, è bene ricordare che il registro dei trattamenti sarà il documento principali da
10
·
·
Identificazione, gestione, protezionee documentazione
tenere sempre pronto e assolutamente aggiornato incaso di controllo, poi ci sono tutte le procedure e policy(data breach, valutazione del rischio e di impatto, privacy by design), che però devono essere anche applicate.
MOSSA 4, su quali soluzioni costruire del businessLa mossa 4 di questa piccola guida è anche unapreziosa opportunità di business per un reseller,nel supportare il cliente in questa delicata fase diraccolta e aggregazione di documenti può proporre soluzioni e tecnologie strategiche come:Soluzioni GRC, soluzioni di data protection, analisidei dati e del loro ciclo di vita.
CONTINUA...
11
12
·
·
Nel momento in cui ci si trova a leggere per la prima volta il
GDPR l’effetto e la domanda, alla fine, sono più o meno sempre le stesse, «Tutto chiaro ma chi si prende davvero la responsabilità di avviare un simile processo».Eccolo il centro di gravità permanete, o meglio, insiemeal dato, uno dei due centri, della nuova normativa europea: le responsabilità e i ruoli.
Responsabilità e ruoli, non ci sono scappatoie In questo senso, non a caso, il regolamento è moltopreciso e severo: È tassativamente necessario, sulla base della nuova
normativa, individuare econtrattualizzate tutti
i responsabili del trattamento dei
Dire e fare il GDPR in 10 mosse
Mossa n. 5
Individuare le responsabilità e i ruoli
Prima che regole, punti e virgole, il nuovo GDPR è, come detto, soprattutto una questione di Responsabilità che, chiaramente vanno attribuite e individuate.Non ci sono scappatoie.Ecco perché nel percorso di adeguamento proprio la definizione dei ruoli e dei profili di responsabilità diventa decisiva
“dati. In generale comunque, ovviamente l’azienda risponde sempre di ciò che avviene al suo interno ma, per esempio, occorre capire e definire con grandeprecisione se e come delegare delle attività ad altri e, sulla base di queste, anche responsabilità e ruoli.
Non una, ma due figure principaliPiù nel dettaglio, quando si parla di responsabilitàe di ruoli nella gestione, a norma di legge, delleinformazioni, ci si riferisce a due figure e livelli diresponsabilità: il titolare e il
responsabile. Il primorisponde sempre di fronte alla legge, il secondosolo rispetto a violazioni specifiche previste dalGDPR o rispetto ad inadempimenti verso il titolare.
Come in parte anticipato e come verrà poichiarito nell’ultimo capitolo di questa guida, permolti settori di mercato, anche alla luce delle lineeguida specifiche del WP article, è inoltreindispensabile provvedere alla nomina di un DPO,il famoso Data Protection
12
·
·
Il gestionale cloud
Officer, sulla cui figura cidilungheremo al capitolo 10, interamente a lui dedicato.
MOSSA 5, su quali soluzioni costruire del businessLa mossa 5 di questa piccola guida è anche unapreziosa opportunità di business per un reseller,nel supportare il cliente in questa delicata fase diraccolta e aggregazione di documenti può proporre soluzioni e tecnologie strategiche come:
Soluzioni GRC, software di assesment, software disicurezza e analisi del rischio, software diprotezione e gestione della privacy, infrastrutturedi sicurezza e gestione dei dati: storage, networking.
CONTINUA...
13
14
·
·
La legge è ovviamente una ma gli ambiti applicativi sono i
più disparati. Anche e soprattutto per questoogni Titolare del trattamento dei dati e delle informazioni critiche, nel mettere in atto misuretecniche e organizzative adeguate alla nuova normativa, ha il dovere e l’obbligo di analizzare congrande attenzione l’ambito di applicazione, le finalitàdel trattamento, i diversi rischi per i diritti e le libertàdelle persone fisiche… Non a caso, nell’art. 5 comma IIe nell’art. 24 del GDPR si fa espressa menzione delprincipio di
responsabilizzazione.
Un principio che
Dire e fare il GDPR in 10 mosse
Mossa n. 6
Definire le politiche di sicurezza, valutare i rischi
Inizia la fase più pratica e decisiva del processo di adeguamento al GDPR. Inizia la fase di definizione della metodologia di analisi dei rischi, della definizione delle politiche di sicurezza e della valutazione dei rischi. La fase in cui la nuova legge lascia maggiore libertà e discrezionalità di azione agli interessati. La fase in cui system integrator e reseller possono dunque avere il più decisivo ruolo di consulenti e advisor a valore per aziende che cercano riferimenti, modelli e soluzioni
“nasce nel Legislatore per la esplicita volontà di lasciare maggiore discrezionalità ai titolari del trattamento. Una libertà che, ovviamente, nelpercorso da qui al 25 maggio 2018 imprese e managerdovranno saper maneggiare con grande cura.Servono competenze, soluzioni, tecnologie ad hoc. Un mix che un buon partner di canale, ben radicato sulterritorio, può e deve cercare di assemblare in questadecisiva fase. Considerando
la carenza di risorse e ditempo che le imprese possono dedicare ad un simile processo, sul piatto ci sono evidentemente importanti opportunità di business.
Definizione delle politiche di sicurezza in 3 fasiVenendo rapidamente alla pratica, la fase di definizione delle politiche di sicurezza deve essere sviluppate lungo tre fasi molto chiare.
14
·
·
Protezione attiva della rete, controllo,
monitoraggio e analisi del traffico dati
1) Definizione della metodologia di analisi dei rischi:il GDPR contiene continui richiami al concetto di rischio (es: artt 25, 32 e 35) e, dunque, alla necessità di definire le azioni da adottareprendendo in considerazione l’origine, la natura e la gravità del rischio stesso.
2) Effettuazione dell’analisi del rischio e gap analysis
3) Definizione del piano di intervento: una voltaeffettuata l’analisi dei rischi in base alla metodologia individuata in precedenza, dovrà dunque essere predisposto un piano di intervento contenente le misure tecniche e organizzative più opportune da adottare per garantire unlivello di sicurezza adeguato al rischio stesso (art.32).
Metodologia di Privacy By Design e Pirvacy by DefaultPiù in generale comunque, nella dinamica didefinizione delle politiche di sicurezza, ci sono due fariguida su cui concentrare le proprie attenzioni e investimenti (di tempo e denaro). Il nuovo regolamento torna infatti più e più
volte sui concetti diventati ormai simbolo dell’intera architettura su cui posa la sue fondamenta il GDPR. Si tratta del concetto di privacy by default e del concetto di privacy by design.
Privacy by DefaultNel primo caso si tratta di un principio introdotto nelRegolamento per sottolineare la necessità della tuteladella vita privata dei cittadini “di default” appunto,cioè come impostazione predefinita. Questo vuol direche il titolare dei dati personali che vengono raccolti in occasione di registrazioni a servizi telematici o della stipula di contratti (tanto per fare qualche esempio), o in breve in ogni caso in cui ciascuno di noi rende i propri dati ad un terzo, devono essere trattati sempre attraverso un percorso di politica aziendale o amministrativa interna che ne tuteli la diffusione.
Privacy by designPer privacy by design si intende, invece, la necessità di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo.
CONTINUA...
15
16
Già l’attuale codice della privacy contiene innuce la definizione delle PET – Privacy enablingtechnologies – che del concetto di “privacy bydesign” costituiscono il fondamento. «I sistemiinformativi e i programmi informatici sonoconfigurati riducendo al minimo l’utilizzazione didati personali e di dati identificativi, in modo daescluderne il trattamento quando le finalitàperseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità».
MOSSA 6, su quali soluzioni costruire del businessLa mossa 6 di questa piccola guida come detto è forse una delle più centrali e nevralgiche per tuttigli operatori del canale ICT che intendono “sfruttare” il GDPR come un’opportunità persviluppare relazioni di fiducia, valore e dunquebusiness con i propri clienti.
Nel dettaglio, le tecnologie e soluzioni associabiliad una offerta “tattica” in questa fase potrebbero
essere di vari tipo:soluzioni GRC, software di assesment, software disicurezza e analisi del rischio, software diprotezione e gestione della privacy, antimalware,software di risk analisis, infrastrutture di sicurezza egestione dei dati: storage, networking, software einfrastrutture di backup.
16
·
·
Ammettere, comunicare, rendere noto un attacco
hacker ai propri danni, una falla ai propri sistemi informativi, la perdita di dati critici… Un tema che da sempre provoca più di un mal di pancia in manager e aziende italiane. Un temache la nuova normativa, che si occuperà appunto di“protezione e gestione dei dati”, tratta invece in manieranetta, decisa e, per certi versi, dirompente.
Data Breach, di cosa parliamoMa andiamo con ordine e, come sempre, partiamo dalledefinizioni.Con “Data Breach” si intende il complesso di adempimenti,attributi al Titolare del
Dire e fare il GDPR in 10 mosse
Mossa n. 7
Processo di Data BreachE siamo al dunque. Uno dei punti più discussi, temuti e critici del nuovo regolamento. Cosa, come e in quanto tempo fare quando vengono violati dati personali. Una casista più che frequente al tempo di crytpolocker e wannacry. Una casistica che spesso spaventa le aziende, italiane, sempre restie nel comunicare un contagio o un attacco hacker. Anche e soprattutto in questo caso, un buon system integrator ha il compito di fare chiarezza
“trattamento dei dati, da porre in essere a seguito della violazione dei dati personali, intesa come la “violazione di sicurezza che comportaaccidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Data Breach, cosa fare e in quanto tempoDetto questo, in caso di un simile accadimento, ilTitolare ne deve
comunicazione all’Autorità diControllo (entro 72 ore dall’avvenuta conoscenzadella violazione) e, nei casi più gravi, anche agliinteressati. I Titolari del trattamento dovrannoassicurare di avere adottato procedure idonee a scoprire eventuali violazioni, generare adeguata reportistica e indagarne le cause nonché gli effetti.
Data Breach, i casi più gravi Qualora la violazione dei dati presenti un rischio
17
18
Un passo verso una buona salute dei dati
elevato peri diritti e le libertà delle persone fisiche, ilTitolare comunica la violazione all’interessato senza ingiustificato ritardo (art.34), fatta eccezione peralcune ipotesi previste dalla norma (ad esempio,qualora detta comunicazione richiederebbe sforzi spropositati). In sintesi la legge obbliga, ogni impresa, aformalizzare la gestione dei casi di violazione dei daticon una apposita procedura
MOSSA 7, su quali soluzioni costruire del businessLa mossa 7 di questa piccola guida tocca dunqueun tasto particolarmente sensibile per le aziendeitaliane da sempre poco propense e comunicare ipropri “buchi”informatici. Mai come in questo casola prima mossa che un buon reseller può e devefare è spronare i propri clienti verso una adeguatafase di formazione e sensibilizzazione del personale sulla tematica e sulle cose da fare in caso di cyber attacchi o perdita di dati critici, evitando problemimaggiori.
Le tecnologie associabili e “sfruttabili” in questadelicata fase sono:software di sicurezza e analisi del rischio, softwaredi protezione e gestione della privacy, antimalware, software di risk analisis, infrastrutture di sicurezza e gestione dei dati: storage,networking, software e infrastrutture di backup,firewall, soluzioni antispam, antiransomware.
CONTINUA...
18
·
·
Dati personali e misure di protezione logica, fisica, organizzativa.
Eccolo il cuore del GDPR, il passaggio decisivo dal quale passa buona parte dell’efficacia del processo di adeguamento. Se le misure e le valutazioni sono corrette il castello sta in piedi, se le valutazioni sono errate… le conseguenze negative sono inevitabili, dalla perdita dei dati alla maggiore vulnerabilità dell’interainfrastruttura IT aziendale fino alle sanzioni…
GDPR e protezione dei dati, un nuovo approccioA bene vedere tutto ruota attorno ad un approccio,nuovo, (in parte già anticipato in questa guida), sul qualeil GDPR imposta buona parte della sua struttura. Il CodicePrivacy attualmente vigente
Dire e fare il GDPR in 10 mosse
Mossa n. 8
Come si proteggono i dati personali?La protezione dei dati personali è un altro passaggio chiave sulla strada di adeguamento al GDPR. Un passaggio sul quale, la nuova normativa, porta un nuovo e più strategico approccio non più basato su misure minime ma su valutazioni di contesto che aprono la strada a progetti di grande valore per system integrator e reseller
“prevede delle misure minimeche il Titolare del trattamento dei dati deve rispettare per essere “a norma”. Il GDPR invece, come in parte già spiegato, cancella il concetto di misure minime: dovrà invece essere una valutazione del contesto e dei rischi a guidare le scelte del Titolare nel determinare le misure di sicurezza da applicare. Nel primo caso c’è solo un costo di attuazione, nel secondo caso anche un costo di analisi e valutazione e un costo di documentazione delle scelte, di controllo e di revisione periodica. Un approccioprogettuale molto più evoluto
su cui le competenze di un system integrator, reseller ben radicato sul territorio ecapace di costruire rapporti di fiducia con i suoi clienti può costruire importanti progetti e soluzioni tecnologiche a valore.
Il termine “costo” infatti secondo i firmatari del nuovoprogetto non sta qui ad indicare un mero dato monetario: servono una cultura aziendale evoluta e un’organizzazione articolata per corrispondere all’impostazione del GDPR, la sola capacità di spesa adeguata non basta.
19
20
GDPR e protezione dei dati, cosa fareDetto dell’approccio, punto fondamentale da considerare, tocca ora mettere il naso nei passi da fare per impostareuna corretta protezione dei dati. Tanto per cominciare la necessità di assicurare trasparenza nelle operazioni di trattamento dei dati personali e adeguata protezione degli stessi, implica che il Titolareeffettui precise e adeguate valutazioni di impatto.Anche sulla base di tali valutazioni, il titolare identifica le misure di sicurezza fisiche, logiche e organizzative adeguate per minimizzare i rischi dei singoli trattamenti.La valutazione di impatto assume un’utilità e una centralità ancor più evidente alla luce delle più recentistrumentazioni informatiche e telematiche e dei trattamenti dei dati che possono essere svolti tramite tecnologie avanzate.Innovazione dunque che va messa al servizio della privacy e della protezione delle informazioni. Innovazione digitaleche, sotto forma delle soluzioni che seguono, va però guidata con una adeguata dose di competenze.
MOSSA 8, su quali soluzioni costruire del businessLa mossa 8, con il continuo rimando a competenzee valutazioni specifiche di impatto, è forse quellache chiama più esplicitamente in causa system integrator e reseller sul territorio.
Considerando il tessuto economico italiano, conuna componente di PMI stradominante, come piùvolte detto saranno decisive proprio le competenzedegli operatori di canale per accompagnare le aziende di piccole dimensioni e, come da prassi, scarse di risorse verso il GDPR. Qui, come datradizione, un piccolo estratto di tecnologie su cuiscommettere in maniera più decisa proprio per spingere questa mossa sulle imprese:
software di sicurezza e analisi del rischio, software di protezione e gestione della privacy, antimalware,software di risk analisis, infrastrutture di sicurezza egestione dei dati: storage, networking, software einfrastrutture di backup, firewall, soluzioni antispam,antiransomware.
Soluzioni per Backup, Snapshot e per il GDPR
CONTINUA...
20
·
·
Chiedere di essere dimenticati, di cancellare i propri
dati, il proprio passaggio, la presenza o, ancora, di poter portare via la propria identità e il proprio patrimonio informativo. Eccolo il diritto all’oblio e alla portabilità dei dati che con il GDPR un individuo è nella facoltà di chiedere. Una facoltà che, al tempo dei social, della viralizzazione selvaggia di immagini, video, informazioni… attiva processi e dinamiche molto delicate sulle quali occorre prepararsi con grande attenzione in vista del 25 maggio 2018.
Diritto all’oblio e portabilità, di cosa si trattaIntanto come sempre le definizioni. Il diritto all’oblio o diritto alla cancellazione nasce come applicazione
Dire e fare il GDPR in 10 mosse
Mossa n. 9
Gestire la portabilità dei dati e il diritto all’oblio
Si tratta con ogni probabilità dell’aspetto di più complessa e articolata applicazione. Il GDPR spinge con forza sul tema della portabilità del dato e sul diritto all’oblio. In pratica l’interessato può chiedere che ci si dimentichi di lui e tutti i suoi dati venganocancellati. Un processo molto delicato per il quale servono procedure e soluzioni ad hoc
“giurisprudenziale dei principi di esattezza dei dati e diminimizzazione del loro uso già sanciti all’art. 6 della direttiva 95/46/CE.L’aggiornamento dei dati, la loro adeguatezza, pertinenzaed esattezza nonché la loro non eccedenza rispetto allefinalità per le quali vengono raccolti e poi trattati, hannopermesso ai giudici della Corte di Giustizia UE di riconoscere un diritto alla cancellazione e, di converso, in capo ai titolari del trattamento di un obbligo di cancellare i dati in loro possesso. Il Regolamento ha ovviamente definito questi nuovi diritti ed obblighi
prevedendo per l’interessato il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo eil titolare ha l’obbligo di cancellare senza ingiustificato ritardoi dati personali.
Diritto all’oblio e portabilità, quando e perchéIl diritto alla cancellazione è ovviamente subordinato allasussistenza di una serie di motivazioni previste espressamente dallo stesso art. 17 del Regolamento. Infatti il diritto
21
22
Converti in digitale con la massima sicurezza tutti i tuoi documenti
cartacei
all’oblio sussiste se:- i dati personali non sono più necessari rispetto alle finalità per cui erano stati raccolti o trattati;- l’interessato revoca il consenso e non sussiste altro fondamento giuridico per il trattamento;- l’interessato si oppone al trattamento e non sussiste altro fondamento giuridico per continuare lo stesso;- i dati sono stati trattati illecitamente;- i dati devono essere cancellati per legge;- i dati sono stati forniti da un minore.
In più va osservato che, qualora il titolare del trattamento abbia reso pubblici i dati personali oggetto di richiesta di cancellazione, lo stesso è obbligato non solo a cancellarli ma, tenendo conto della tecnologia disponibile e dei costi diattuazione, anche ad avvertire tutti i soggetti che trattano tali dati di cancellare qualsiasi link, copia o riproduzione di essi.Alla luce di quanto sopra è dunque fondamentale che nel processo di adeguamento al GDPR la fase di attivazione di simili diritti da parte di uno o più interessati del
trattamento siaoggetto di una adeguata procedura di dettaglio.
MOSSA 9, su quali soluzioni costruire del businessLa mossa 9 come detto chiama in causa uno deipassaggi più delicati di tutto il nuovo regolamentoovvero il come, quando e perché cancellareun’informazione digitale.Una procedura apparentemente banale ma per nulla scontata al tempo della viralizzazione e dellamoltiplicazione delle informazioni tramite strumentiormai di uso quotidiano come whatsapp, peresempio, o i social networks.
L’avvio di una corretta procedura di cancellazione e soprattutto la capacità di gestirla dipende ora più che mai dalla capacità di disporre di soluzioni come:
software di protezione e gestione della privacy,infrastrutture di sicurezza e gestione dei dati:storage, networking, software e infrastrutture di backup
CONTINUA...
22
·
·
Intanto la cronaca: il GDPR prevede la nuova figura delData Protection Officer
o Responsabile della protezione dei Dati. La sua nomina, per chiarezza, non è Sempre obbligatoria, ma lo è in una serie di ipotesi previste dall’art. 37 del Regolamento, ad esempio qualora le attività principali del Titolare/Responsabile deltrattamento consistano nel trattamento su larga scaladi categorie particolari di dati personali.
DPO… ma cosa fa di mestiere un DPO?Si tratta di una figura che ha come responsabilitàprincipale quella di osservare, valutare e organizzare la gestione del trattamento dei dati personali (e dunquedella loro protezione)
Dire e fare il GDPR in 10 mosse
Mossa n. 10
La figura del DPO
Oltre ad articoli, sanzioni, procedure e disposizioni, al centro del GDPR c’è anche e soprattutto una figura nuova, in carne, competenze e ossa. Si tratta del Data Protection Officer. Una figura che va prevista per legge e sulla quale vale la pena di fare chiarezza
“all’interno di una azienda,affinché questi siano regolati nel rispetto delle normative sulla privacy europee e nazionali.
Il Data Protection Officer deve svolgere le attività a luiaffidate dal GDPR tra cui:- Informare e consigliare il Titolare o il Responsabile inmerito obblighi del Regolamento- Verificarne l’applicazione e l’attuazione- Fornire pareri e fungere da punto di contatto siacon gli Interessati sia con il Garante
DPO… ma quali competenze deve avere un DPO?Legale, informatica… ma di che tipo di estrazioneprofessionale deve disporre un DPO per essere tale? Questa una delle domande più frequenti che, in queste ora, stanno viaggiando dentro e fuori le aziende che guardano verso maggio 2018.La risposta è abbastanza ampia ma chiare… entrambe.
Più in particolare perché il DPO possa svolgere leproprie funzioni in modo efficace, è necessario che:- Abbia precise competenze giuridiche,
23
24
Formazione e GDPR: Data Protection
Officer (DPO) e Privacy Consultant
informatiche, di risk management e di analisidei processi- Goda di indipendenza e autonomia- Possa interfacciarsi con le figure chiave dell’azienda, al fine di valutare i rischi connessi ai trattamenti e suggerire quali misure adottare.
MOSSA 10, su quali soluzioni costruire del businessAnche e soprattutto alla luce della tipologia di competenze e attività che il DPO sarà chiamato ad avere e svolgere, per tutti i system integrator ereseller che affiancheranno lui e la sua azienda, ora più che mai è tempo di scommettere su:software di assesment, software di sicurezza eanalisi del rischio, software di protezione egestione della privacy, infrastrutture di sicurezza egestione dei dati: storage, networking
CONTINUA...
24
Project ManagementICT Legal & Tech
immagine scontornata fondo bianco
ARCADIS
Arcadis Group Corporate e A.N.G.I.F. hanno dato
il via ad un piano di sviluppo e di attività su scala
nazionale, mediante il quale le Imprese italiane
potranno avvalersi di un supporto completo “ICT
Legal” per conoscere ed approfondire la disciplina
del nuovo regolamento europeo «GDPR – General
Data Regulation Protection», con gli obiettivi di:
• Fornire alle aziende un supporto altamente
qualificato per conseguire la conformità
• Educare gli utenti sull’importanza di norme
comportamentali, per garantire l’incolumità
digitale e contestualmente quella aziendale
• Utilizzare adeguate, idonee, appropriate
tecnologie per limitare al massimo
(accountability) i rischi di attacchi o di perdite di
dati che potrebbero arrecare danni importanti.
• Con la conoscenza dell’infrastruttura già
ACQUISTA ORA APPROFONDISCI
utilizzata dal Cliente, il Reseller si integra nel
Team di lavoro demandato alla fase di Pre-Audit
per l’analisi dello stato dei processi; l’attività
potrà essere ulteriormente protratta fino alla
realizzazione delle misure adeguate di sicurezza,
sulla base dei requisiti del GDPR.
• Consulenza (Pre-Audit)
• Rilevazione organizzazione, processi e tecnologie
aziendali
• Progetto (Risk Assessment)
• Assessment dettagliato dei processi aziendali e
del Sistema Informativo del Cliente
• Attivazione (POC) delle tecnologie per le
adeguate misure di sicurezza
• Realizzazione (Risk management)
• Messa in opera delle tecnologie per le adeguate
misure di sicurezza
• Servizi di Management della Governance
25
26
360 DATA MANAGEMENT PER IL GDPR:CONFORMITÀ DI LIVELLO ENTERPRISE
immagine scontornata fondo bianco
VERITAS
ACQUISTA ORA APPROFONDISCI
GDPR richiede una miglior gestione e una maggiore
pulizia dei dati. I prodotti di governance attualmente
in uso sono orientati a rispondere alle sfide della
gestione dati, pertanto mancano della capacità
a garantire una soluzione GDPR completa e
multidimensionale.
Tenendo ciò bene in mente, Veritas ha adottato un
approccio esclusivo per mettere a disposizione un
robusto toolkit, in grado di soddisfare i più complessi
requisiti richiesti dal GDPR.
360 Data Management per il GDPR di Veritas assicura
un approccio olistico e integrato alla conformità al
GDPR.
Tramite la mappatura degli obblighi normativi
critici effettuata dai componenti principali della
soluzione, Veritas stabilisce una tabella di marcia
della conformità con fondamenti integrati di privacy
by design. Connettendo ogni componente di questa
struttura, il valore derivato dall’individuazione,
dalla ricerca, dalla riduzione, dalla protezione e dal
monitoraggio dei dati personali fa sì che tutte le
aziende, di qualsiasi dimensione, possano contare
su una conformità di livello enterprise in qualsiasi
momento.
26
Accelerate GDPR compliancewith the Microsoft Cloud
immagine scontornata fondo bianco
MICROSOFT
ACQUISTA ORA APPROFONDISCI
Attraverso servizi cloud e soluzioni locali, Microsoft
ti aiuta a individuare e catalogare i dati personali
all’interno dei tuoi sistemi, a costruire un ambiente più
sicuro e a semplificare la gestione e il monitoraggio dei
dati personali, offrendoti gli strumenti e le risorse di cui
hai bisogno per soddisfare i requisiti di segnalazione e
valutazione del GDPR.
Sono stati individuati quattro passaggi chiave nel
percorso verso la conformità al GDPR, con i prodotti e
servizi Microsoft è possibile trovare potenti soluzioni
per affrontare ogni passaggio.
• IDENTIFICAZIONE: identifica quali dati personali
possiedi e dove risiedono. I servizi cloud Microsoft
semplificano la localizzazione e l’identificazione dei
dati personali raccolti, consentendoti così di trovarli
e valutarli più facilmente nell’azienda.
• GESTIONE: gestisci il modo in cui i dati personali
vengono usati e come accedervi. I servizi cloud
Microsoft consentono di centralizzare il trattamento
grazie a una gestione più efficace di criteri,
classificazioni dei dati e casi di utilizzo applicabili.
• PROTEZIONE: Stabilisci controlli di sicurezza
per prevenire, rilevare e risolvere vulnerabilità
e violazioni dei dati. I servizi cloud Microsoft
combinano impareggiabili funzionalità di intelligence
per le minacce e forniscono strumenti che ti
consentono di sfruttare al massimo tale intelligence
in tutte le tue iniziative di sicurezza.
• DOCUMENTAZIONE: conserva la documentazione
necessaria e gestisci le richieste di dati e le
notifiche delle violazioni. I servizi cloud Microsoft
consentono di centralizzare e semplificare i
passaggi tecnici e amministrativi necessari per la
conformità, ad esempio la dimostrazione delle
attività di due diligence e la gestione delle richieste
di accesso
27
28
La tecnologia Cloud che consente di utilizzarequalsiasi tipo di documento senza aver bisogno
di supporti e archivi digitali
immagine scontornata fondo bianco
XXXXXXXXXXX
ACQUISTA ORA APPROFONDISCI
myfoglio è l’innovativa piattaforma FREEMIUM per la
gestione delle attività lavorativa myfoglio si orienta
al mercato dei freelance/indipendenti e delle micro
imprese, che non hanno bisogno di complessi
gestionali, ma anzi di praticità di utilizzo, e sempre
più spesso di accesso in mobilità, attraverso web,
smartphone e tablet.
28
Next-Gen Security Gateway USG
immagine scontornata fondo bianco
XXXXXXXXXXX
ACQUISTA ORA APPROFONDISCI
Con il GDPR il concetto di Data Protection
diventa mandatorio. La sicurezza deve essere
parte integrante di tutti i sistemi fin dalla loro
progettazione (Privacy By Design) e le misure di
protezione dei dati devono utilizzare tecnologie di
sicurezza della rete innovative e costantemente
aggiornate. Controllo dell’accesso ai dati, protezione
attiva della rete, automazione, monitoraggio e analisi
sono i requisiti necessari per mettere in sicurezza
il perimetro della rete ed essere in linea con le
richieste del Regolamento.
Una security “by design” si costruisce a partire dalla
progettazione dell’intera rete con l’utilizzo di apparati
quali firewall, switch, access point che consentano
una gestione ed un controllo totale del traffico dei
dati.
I dispositivi di sicurezza, wireless e networking Zyxel
sono ideali per le piccole e medie aziende, grazie
alle soluzioni Zyxel è possibile proporre ai clienti
un approccio globale, performante e scalabile alle
necessità di adeguamento al GDPR.
In particolare, la gamma security include i Next
Generation Firewall, con un’ampia gamma di servizi
quali Application Intelligence, Content Filtering,
Anti-Virus e Anti-Spam, Software di management e
reportistica. Questa gamma di apparati proteggerà la
rete aziendale dei vostri clienti, i dati personali e le
risorse critiche da minacce interne ed esterne.
29
30
GDPR, Security Awareness, Encryption
immagine scontornata fondo bianco
XXXXXXXXXXX
ACQUISTA ORA APPROFONDISCI
La causa di oltre l’80% degli incidenti informatici è
un errore umano. Le aziende perdono milioni di euro
nel ripristino dagli incidenti causati dal personale,
ma di solito i programmi di formazione tradizionali
non riescono a ottenere il livello di motivazione e i
cambiamenti comportamentali desiderati.
Kaspersky Lab propone una famiglia di prodotti
di formazione basata su computer che sfrutta
tecniche di apprendimento più recenti ed è
rivolta a tutti i livelli della struttura organizzativa:
creando un ambiente informatico aziendale solido
e autosufficiente si approda a un apprendimento
basato sul gioco, visivo e aziendale.
I corsi di cybersecurity awareness di Kaspersky Lab
servono per:
• Modificare il comportamento, stimolando l’impegno
dell’individuo a lavorare in modo sicuro, costruendo
un ambiente aziendale in cui “Tutti sono attenti alla
sicurezza informatica. Quindi, mi impegno anche io”.
• Condividere un approccio motivazionale, tramite
tecniche di apprendimento con giochi, simulazione di
attacchi e corsi sulla cybersecurity approfonditi e
interattivi
Valore del prodotto
• Fino al 90% di diminuzione del numero degli
incidenti
• Fino al 95% di probabilità che i partecipanti
applichino le capacità apprese nelle attività
lavorative
• L’86% consiglierebbe il programma
30
QNAP Remote Manager Plus e come Impedirele perdite di dati con le snapshot
immagine scontornata fondo bianco
XXXXXXXXXXX
ACQUISTA ORA APPROFONDISCI
Con le minacce ramsonware diventa sempre più
importante pianificare ulteriori backup e soluzioni di
Disaster Recovey.
Inoltre per essere in regola con la nuova normativa
GDPR viene chiesto un controllo dell’accesso dei
dati; QNAP risponde a queste esigenze con la
funzione Snaphot
(Le istantanee consentono al Turbo NAS di registrare
in qualsiasi momento lo stato del sistema. In caso
si verifichi un’emergenza inaspettata nel sistema, è
possibile ripristinare lo stato precedente registrato
dall’istantanea.) e con la nuova applicazione QRM+
(una Soluzione di gestione centralizzata per
dispositivi computerizzati connessi in rete).
31
32
Fujitsu ScanSnap iX500: trasformare in modo semplice ed immediato tutti i documenti cartacei in informazioni
digitali utili, accessibili e sicure
immagine scontornata fondo bianco
XXXXXXXXXXX
ACQUISTA ORA APPROFONDISCI
Con l’introduzione delle nuove normative
europee in termini di privacy, l’accesso rapido
alle informazioni e una loro gestione sicura sono
elementi imprescindibili per qualsiasi organizzazione.
Per questo motivo, lo scanner ScanSnap iX500
è la soluzione perfetta per trasformare in modo
semplice ed immediato tutti i documenti cartacei in
informazioni digitali utili, accessibili e sicure.
Scansione a norma di legge. ScanSnap iX500
converte i documenti cartacei nel formato PDF/A,
lo standard ISO riconosciuto a livello internazionale
per l’archiviazione nel lungo periodo di documenti
elettronici.
Protezione dei dati. Crea una password ogni volta
che acquisisci un nuovo documento per proteggere
le informazioni più sensibili da accessi indesiderati.
Accesso rapido alle informazioni. Grazie al motore
OCR integrato, crea file PDF ricercabili
per garantirti un accesso rapido alle informazioni.
Dotato di ADF da 50 pagine e una velocità di
scansione pari a 50 immagini al minuto, lo scanner
ScanSnap iX500 è venduto a corredo con il software
ScanSnap Manager. Dotato di wi-fi, permette inoltre
di inviare i documenti
direttamente al servizio Cloud preferito, senza
passare da pc.
DestinatariTutti coloro che a vario titolo sono responsabili della sicurezza dei dati personali, più avvocati, consulenti e commercialisti.
Codice corso: GDPR01G Durata: 4 giorni Prezzo: contattaci
Essendo il corso accreditato KHC, superando il Test di Qualifica proposto al termine della formazione è possibile presentare richiesta a KHC (www.khc.it) per l’iscrizione all’Esame ufficiale KHC di “Data Protection Officer e Privacy Consultant". Tale certificazione ha una valenza internazionale in quanto effettuata da KHC in conformità alla norma ISO/IEC 17024.Per effettuare l’iscrizione all’esame ufficiale sono richiesti alcuni prerequisiti tra cui una esperienza pratica ed il pagamento della quota dell’esame.
Contatto: [email protected]
Agenda· Normativa in materia di tutela – Quadro normativo
europeo (GDPR- Regolamento generale sulla protezionedei dati e TU Privacy), Provvedimenti del Garante, categoriedi dati e loro trattamento, sanzioni, adempimenti,trasferimento dei dati all'estero, obblighi di notificazione,diritti dell'interessato, tutela particolare dei dati semi-sensibili, tutela e sicurezza delle banche dati informatiche.
· Le attività del Data Protection Officer e del PrivacyConsultant - Organizzazione aziendale, piano diformazione, regolamenti aziendali, gestione delladocumentazione, attività di Audit applicata al Codice dellaPrivacy, Sistema di Gestione della Privacy.
· Data Security – Risk Analysis, Standard per la sicurezzadei dati, incidenti e continuità del trattamento.
· Misure Minime di Sicurezza – Allegato B, trattamentie sistema di autenticazione informatica, sistema diautorizzazione, trattamento dei dati sensibili e giudiziari,trattamenti con strumenti non elettronici
· Casi di gestione delle problematiche sul trattamentodei dati
· Test di qualifica.
Corso: GDPR, Data Protection Officer (DPO) e Privacy Consultant
Il GDPR (General Data Protection Regulation – ovvero la direttiva 95/46/CE) è stato promulgato dall'Unione Europea per sostituire tutte le precedenti direttive sulla protezione dei dati personali. L'obiettivo è regolamentare in modo più chiaro il trattamento dei dati e armonizzare le normative sulla loro protezione all'interno dell'Unione europea. Il GDPR influenza indubbiamente le pratiche relative al trattamento dei dati personali, con un impatto su qualsiasi organizzazione che tratti i dati di un residente nella UE, prevedendo in maniera esplicita la figura professionale del DPO (Data Protection Officer). Il profilo professionale del DPO (e del Privacy Consultant), necessita di racchiudere in sé competenze specifiche e diversificate, soprattutto legali ed informatiche.
Formazione e GDPR (General Data Protection Regulation)
Tech Data Academy
academy.techdata.com32
DestinatariTutti coloro che a vario titolo sono responsabili della sicurezza dei dati personali, più avvocati, consulenti e commercialisti.
Codice corso: GDPR01G Durata: 4 giorni Prezzo: contattaci
Essendo il corso accreditato KHC, superando il Test di Qualifica proposto al termine della formazione è possibile presentare richiesta a KHC (www.khc.it) per l’iscrizione all’Esame ufficiale KHC di “Data Protection Officer e Privacy Consultant". Tale certificazione ha una valenza internazionale in quanto effettuata da KHC in conformità alla norma ISO/IEC 17024.Per effettuare l’iscrizione all’esame ufficiale sono richiesti alcuni prerequisiti tra cui una esperienza pratica ed il pagamento della quota dell’esame.
Contatto: [email protected]
Agenda· Normativa in materia di tutela – Quadro normativo
europeo (GDPR- Regolamento generale sulla protezionedei dati e TU Privacy), Provvedimenti del Garante, categoriedi dati e loro trattamento, sanzioni, adempimenti,trasferimento dei dati all'estero, obblighi di notificazione,diritti dell'interessato, tutela particolare dei dati semi-sensibili, tutela e sicurezza delle banche dati informatiche.
· Le attività del Data Protection Officer e del PrivacyConsultant - Organizzazione aziendale, piano diformazione, regolamenti aziendali, gestione delladocumentazione, attività di Audit applicata al Codice dellaPrivacy, Sistema di Gestione della Privacy.
· Data Security – Risk Analysis, Standard per la sicurezzadei dati, incidenti e continuità del trattamento.
· Misure Minime di Sicurezza – Allegato B, trattamentie sistema di autenticazione informatica, sistema diautorizzazione, trattamento dei dati sensibili e giudiziari,trattamenti con strumenti non elettronici
· Casi di gestione delle problematiche sul trattamentodei dati
· Test di qualifica.
Corso: GDPR, Data Protection Officer (DPO) e Privacy Consultant
Il GDPR (General Data Protection Regulation – ovvero la direttiva 95/46/CE) è stato promulgato dall'Unione Europea per sostituire tutte le precedenti direttive sulla protezione dei dati personali. L'obiettivo è regolamentare in modo più chiaro il trattamento dei dati e armonizzare le normative sulla loro protezione all'interno dell'Unione europea. Il GDPR influenza indubbiamente le pratiche relative al trattamento dei dati personali, con un impatto su qualsiasi organizzazione che tratti i dati di un residente nella UE, prevedendo in maniera esplicita la figura professionale del DPO (Data Protection Officer). Il profilo professionale del DPO (e del Privacy Consultant), necessita di racchiudere in sé competenze specifiche e diversificate, soprattutto legali ed informatiche.
Formazione e GDPR (General Data Protection Regulation)
Tech Data Academy
academy.techdata.com
APPROFONDISCI
33
34
Connectingthe World with the
Power of TechnologyTM
techdata.it
Tech Data connette il mondo con il potere della tecnologia.
Il nostro portfolio end-to-end di prodotti, servizi e soluzioni, le competenze altamente specializzate e la conoscenza delle tecnologie di prossima generazione, permettono ai nostri partner di canale di portare sul mercato i prodotti e le soluzioni di cui il mondo ha bisogno per connettersi, crescere e avanzare.
Certichiamo, istruiamo e supportiamo i nostri clienti rivenditori e forniamo assistenza per congurare, installare e nanziare i loro acquisti.
Per conciliare l'approccio specialistico ed i servizi avanzati proposti da Tech Data, abbiamo consolidato le nostre offerte in due grandi famiglie di soluzioni:
In aggiunta Tech Data continua a mantenere un approccio specializzato negli ambiti Datech Solutions, per i servizi a valore aggiunto Autodesk, Maverick AV Solutions, per le soluzioni audiovisive, collaboration e smart signage e Global Computing Components (GCC) Solutions, per i componenti necessari per progettare e costruire soluzioni differenziate per i mercati client, enterprise e data center.
Tech Data è uno dei più grandi distributori di tecnologia al mondo. Semplichiamo la complessità del mondo IT mettendo a disposizione dei clienti le nostre competenze, l’unicità dei servizi e le nostre consolidate relazioni con i fornitori e acceleriamo la crescita dei nostri clienti fornendo loro gli strumenti, le risorse e i servizi per creare un concreto vantaggio competitivo.
Endpoint Solutions: sistemi PC, telefonia mobile e accessori, stampanti, periferiche, materiali di consumo, software e prodotti di elettronica di largo consumo.
Advanced Solutions: tecnologie enterprise per data center, infrastrutture convergenti, iperconvergenti e software dened e tecnologie di nuova generazione quali: cloud, IoT, mobility, security, big data e analytics.
34
Servizi di creditoDai solidità al tuo business con i nostri piani di credito essibili, reward programs, strumenti di pianicazione e opzioni di leasing.
Ti offriamo una formazione incentrata sulla salute del tuo business, tra cui possibili alternative di nanziamento e gestione del usso di cassa.
FormazioneTi forniamo gli strumenti e le risorse per aiutarti a sviluppare le competenze necessarie per vendere e fornire supporto alle soluzioni che proponi.
Il nostro obiettivo è quello di aiutarti a portare a termine complessi percorsi di formazione volti a ottenere livelli di certicazione più elevati e fare aumentare i tuoi ricavi.
Servizi MarketingAttraverso programmi marketing dedicati alle diverse tipologie di business, aiutiamo i clienti a generare leads che si trasformano in vendite.
Ci focalizziamo sugli end-user con un marketing dinamico supportato da campagne di lead-generation, eventi, outbound marketing, SEO e altro ancora allo scopo di aumentare la tua visibilità.
Servizi Tecnici e E-businessTi forniamo un'ampia gamma di supporti specici per ciascun vendor e una piattaforma e-commerce trasversale per aiutarti a fornire soluzioni end-to-end ai tuoi clienti.
Ti mettiamo a disposizione le nostre competenze con dei prezzi competitivi per l’assemblaggio, la congurazione, la personalizzazione e l’installazione di prodotti IT adatti alle tue speciche esigenze.
Logistica e MagazzinoCon 30 centri di logistica in tutto il mondo, abbiamo la capacità di stoccare prodotti in modo afdabile ed evadere ordini in tutti i mercati internazionali in cui operiamo.
Servizi di Supply ChainLe nostre soluzioni essibili consentono un supporto consolidato e integrato della catena di approvvigionamento per una varietà di canali.
TI PREPARIAMO AL SUCCESSO:con soluzioni adatte ad ogni business
43Years in IT distribution
~ $36BPro forma sales
TECDPublicly traded - Nasdaq
#107On the Fortune 500
115.000IT resellers customers
150.000IT products sold
100+Countries served
14.000+Employees worldwide
1.000+Vendors
Operations in
40Countries
One of
Fortune’s“World Most Admired Companies”
Tech Data Italia S.r.l.Via Tolstoj 65 - 20098 San Giuliano Milanese (MI)
02.98495.1 02.98495.201 [email protected] Ufcio Vendite02.98495.298 / [email protected]
Connectingthe World with the
Power of TechnologyTM
techdata.it
Tech Data connette il mondo con il potere della tecnologia.
Il nostro portfolio end-to-end di prodotti, servizi e soluzioni, le competenze altamente specializzate e la conoscenza delle tecnologie di prossima generazione, permettono ai nostri partner di canale di portare sul mercato i prodotti e le soluzioni di cui il mondo ha bisogno per connettersi, crescere e avanzare.
Certichiamo, istruiamo e supportiamo i nostri clienti rivenditori e forniamo assistenza per congurare, installare e nanziare i loro acquisti.
Per conciliare l'approccio specialistico ed i servizi avanzati proposti da Tech Data, abbiamo consolidato le nostre offerte in due grandi famiglie di soluzioni:
In aggiunta Tech Data continua a mantenere un approccio specializzato negli ambiti Datech Solutions, per i servizi a valore aggiunto Autodesk, Maverick AV Solutions, per le soluzioni audiovisive, collaboration e smart signage e Global Computing Components (GCC) Solutions, per i componenti necessari per progettare e costruire soluzioni differenziate per i mercati client, enterprise e data center.
Tech Data è uno dei più grandi distributori di tecnologia al mondo. Semplichiamo la complessità del mondo IT mettendo a disposizione dei clienti le nostre competenze, l’unicità dei servizi e le nostre consolidate relazioni con i fornitori e acceleriamo la crescita dei nostri clienti fornendo loro gli strumenti, le risorse e i servizi per creare un concreto vantaggio competitivo.
Endpoint Solutions: sistemi PC, telefonia mobile e accessori, stampanti, periferiche, materiali di consumo, software e prodotti di elettronica di largo consumo.
Advanced Solutions: tecnologie enterprise per data center, infrastrutture convergenti, iperconvergenti e software dened e tecnologie di nuova generazione quali: cloud, IoT, mobility, security, big data e analytics.
35
36
