La piena applicazione del nuovo Regolamento Europeo “GDPR” 2016/679 è prevista per il 25 maggio 2018, ed entro tale data tutte le realtà che abbiano a che fare con la gestione di dati personali dovranno essere conformi a quanto previsto dalla normativa, pena il rischio di ricevere sanzioni estremamente pesanti, in termini economici e d’immagine.
Questo libro, in questo momento, risulta essere uno strumento assolutamente indispensabile per coloro che avranno il compito di provvedere alle verifiche di coerenza ed adeguatezza alla normativa.
La capacità di condurre un audit in ambito privacy completo ed esauriente può essere una competenza sfruttabile dal professionista che si propone sul mercato sia in ambito consulenziale che in ambito di verifica da parte di enti preposti al controllo.
Quest’opera sarà di aiuto a due tipologie di lettori:
- il singolo professionista che intende aumentare o migliorare la propria conoscenza in un ambito professionale di sicuro interesse che offrirà moltissime opportunità nell’immediato coinvolgendo tutte le attività produttive, che avranno bisogno di figure professionali capaci e competenti nelle verifiche
- l’imprenditore o i responsabili della compliance aziendale perché è fondamentale per loro comprendere quanto possa essere impegnativa una sessione di audit in ambito privacy e capire di doversi rivolgere a persone qualificate che abbiano esperienza e metodo per aiutare le loro organizzazioni ad essere conformi a tutto ciò che la normativa richiede.
Questo libro offre tutti gli spunti per confrontarsi con gli autori su quanto il lettore già conosce e quanto, soprattutto, non conosce, grazie a un mix di competenze veramente preziose.
Gianluca De Vincentiis
è nato a Roma nel 1965, laureato in ingegneria elettronica presso l’Università degli Studi La Sapienza di Roma e iscritto all’Ordine degli Ingegneri della provincia di Roma al n. 2618. Collabora con Organismi di Certificazione accreditati per la certificazione di sistemi di gestione come responsabile di schema per la norma sulla sicurezza delle informazioni (ISO27001) e come direttore operativo in un OdC dedicato alla certificazione delle persone o figure professionali (Legge n.4/20013); è consulente, auditor professionista in ambito IT, ISO9001 e ISO27001. Ha svolto in precedenza attività di progettazione e sviluppo di software in piccole realtà e grandi multinazionali, è stato Service manager per l’Italia della gestione di sofisticate apparecchiature dedite ai controlli di sicurezza aeroportuali, è stato prima socio e poi amministratore di società di software attive nell’ambito del gaming.
Stefano Gorla
classe 1962, è laureato in fisica nucleare presso l’Università di Padova. Ha insegnato per alcuni anni Matematica e Fisica. Dopo un percorso che è passato dalla ricerca alla qualità si è occupato delle tematiche Privacy dal 2003. Attualmente è consulente Privacy e Sicurezza dei Dati in vari settori. È DPO certificato (DPO 001 FAC Certifica). Ha ricoperto il ruolo di responsabile della BU Privacy di una società di servizi e il ruolo di Referente Privacy (DPO) c/o un grosso gruppo multinazionale del settore Automotive. Formatore in ambito Privacy e Sicurezza dei dati. Delegato regionale per la Lombardia di ANDIP (Associazione Nazionale per la Difesa della Privacy), Socio/consulente A.N.P.S Associazione Nazionale Polizia di Stato, Socio/consulente A.N.F.I Associazione Nazionale Finanzieri, Socio/consulente per A.N.P.I Associazione Nazionale Poliziotti Italiani. è autore di varie pubblicazioni sul tema su riviste specializzate e autore di libri di privacy.
Michele Iaselli
è avvocato, docente a contratto di Informatica giuridica presso la Libera Università Internazionale degli Studi Sociali “Guido Carli” e collaboratore della cattedra di Logica e Informatica giuridica presso l’Università degli Studi di Napoli Federico II. Specializzato presso l’Università degli Studi di Napoli Federico II in Tecniche e metodologie informatiche giuridiche. Presidente dell’Associazione Nazionale per la Difesa della Privacy- ANDIP. Vicedirigente del Ministero della Difesa. Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito a opere collettanee in materia di informatica giuridica e diritto dell’informatica con le principali case editrici.
Giuseppe Tacconi
è nato a Roma nel 1964, laureato in ingegneria elettronica presso l’Università degli Studi La Sapienza di Roma ed iscritto all’Ordine degli Ingegneri della provincia di Roma al n. 20029, è consulente, formatore e auditor professionista per conto di Organismi di Certificazione internazionali sia in Italia che all’estero sugli schemi ISO 9001/20000/27001/27017/27018. Ha svolto attività di progettazione e sviluppo software in ambienti client server e in ambienti distribuiti. Dal 2007 si occupa di sicurezza delle informazioni. È specializzato, per le grandi realtà, in attività di business impact analysis, risk assessment e protezione delle informazioni in ambito ICT. Con oltre 2.000 giornate di audit presso organizzazioni di medie e grandi dimensioni, mette a disposizione la sua esperienza per alcuni aspetti tecnici nell’investigazione di campo sulla sicurezza delle informazioni in ambito privacy.
1. Prefazione (Gianluca De Vincentiis)
2. L’attività di audit dal punto di vista giuridico: rapporti con il GDPR (Michele Iaselli)
2.1 Audit e GDPR: introduzione
2.2 Cosa si intende per rischio informatico
2.3 La sicurezza informatica
2.4 Le misure di sicurezza nel codice della privacy e nel Regolamento europeo sulla protezione dei dati personali
2.5 Ulteriori regole ed adempimenti del GDPR di rilievo per l’attività di audit
2.5.1 Principi da applicare al trattamento dei dati personali
2.5.2 Informativa e consenso
2.5.3 Diritto di accesso dell’interessato
2.5.4 Il diritto di opposizione
2.5.5 Diritto alla portabilità
2.5.6 Data Breach
2.5.7 La valutazione d’impatto sulla protezione dei dati (DPIA)
2.5.8 Registri delle attività di trattamento
2.5.9 Consultazione preventiva
2.6 Conclusioni
3. Audit nei sistemi di gestione privacy
3.1 Definizione di audit
3.2 L’azienda come sistema
3.3 Le normative di riferimento
3.4 La figura dell’auditor: competenze
3.5 Come svolgere un audit privacy
3.6 Cosa controllare
3.7 Le fasi dall’audit
3.8 Rappresentazione dei risultati dell’audit
3.9 Esempio di rapporto privacy
3.10 Un modello matematico-statistico per il Sistema Gestione Privacy
4. Audit privacy dal punto di vista tecnico-informatico
4.1 Premessa
4.2 Quali sono le informazioni che sono oggetto della nostra attenzione
4.3 Qual è il livello di riservatezza delle informazioni
e come devono essere protette in ambito privacy
4.4 Quali sono i vincoli cogenti e/o contrattuali che influiscono sul livello di protezione
4.5 Quali sono i workflow aziendali ed i flussi informativi che veicolano le informazioni all’interno e all’esterno dell’organizzazione?
4.6 Quali sono le infrastrutture che ospitano le nostre informazioni e come vengono gestite dal punto di vista informatico?
4.7 Le protezioni al contorno
4.7.1 Il firewall questo sconosciuto
4.7.2 Antivirus, malware e altri agenti patogeni
4.7.3 Log: tracce nel deserto
4.8 Case Study
Totale pagine 113