DPO Giovanni Bigazzi Firenze

Col recepimento della NIS2 in attuazione della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di sicurezza informatica nell'Unione, sentiremo sempre più spesso parlare della figura professionale del CISO che è l'acronimo inglese di Chief Information Security Officer. In questo articolo esaminiamo il rapporto tra questa figura attinente alla sicurezza informatica e quella del Responsabile della protezione dei dati RPD conosciuto anche con l'acronimo di DPO (Data Protection Officer) come disciplinato dal Regolamento europeo sulla protezione dei dati personali (UE) 2016/679. Diciamo subito che entrambe sono figure che operano nell'ambito della sicurezza dei dati, con ruoli distinti ma complementari. Ecco una panoramica di ciascun ruolo e delle loro possibili interazioni. Ruolo del CISO: Il CISO è responsabile della sicurezza delle informazioni e dei sistemi aziendali. Si occupa della gestione dei rischi legati alla sicurezza informatica, della...

Siamo quasi a dicembre ed è già tempo per il Responsabile della protezione dei dati (aka DPO) di ottemperare a quanto disposto dall’art. 38 paragrafo 3 del Regolamento (UE) 2016/679, ove “ il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento ”. La relazione di fine anno è un momento di accountability molto importante dell'attività del DPO, l'occasione per fare un bilancio della propria attività mettendone a conoscenza il vertice gerarchico dell'organizzazione per la quale svolge il proprio servizio di supporto, per questo è essenziale che durante il corso dell'anno il DPO abbia predisposto e tenuto aggiornato un registro dettagliato dei propri interventi. Ricordiamo quali sono i compiti del Responsabile della protezione dei dati: Sorvegliare l’osservanza del regolamento riguardo all’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che pa...

Tra le policy più importanti da mettere a punto riguardo alla gestione della data protection in ambito privacy vi è sicuramente quella che riguarda il riscontro che il titolare del trattamento, o il suo rappresentante se nominato, deve dare all'interessato. Questa policy rientra tra quelle obbligatorie e si dovrà basare sugli artt. da 15 a 22 del regolamento europeo UE 2016/679 e in particolare: Articolo 15 - Diritto di accesso dell'interessato Articolo 16 - Diritto di rettifica Articolo 17 - Diritto di cancellazione (diritto all'oblio) Articolo 18 - Diritto di limitazione di trattamento Articolo 19 - Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento Articolo 20 - Diritto alla portabilità dei dati Articolo 21 - Diritto di opposizione Articolo 22 - Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione Inoltre occorre tenere conto anche dei considerando 59, 64 e 73: ...

Come scrive  Toscana24  sono 500 gli enti pubblici della Toscana , le società partecipate e le concessionarie di servizi pubblici che dovranno nominare entro il 25 maggio 2018 un Data Protection Officer ( DPO ). Per le aziende del settore privato tale nomina è obbligatoria solo quando si verificano alcune condizioni in base alle dimensioni dell'azienda e alla tipologia dei dati trattati. Il DPO  che può essere un professionista esterno è una figura di garanzia il più possibile indipendente nelle sue scelte, tra i suoi compiti ricade quello della sensibilizzazione e formazione del personale sulla protezione dei dati personali, quello di fungere da punto di contatto tra il titolare del trattamento e l'autorità di controllo nazionale, quello di informare il titolare ed il responsabile del trattamento sugli obblighi derivanti dall'applicazione del nuovo regolamento europeo sui dati personali (GDPR) UE 2016/679 , quello di fornire, se richiesto, un parere in merit...

Uno dei compiti più importanti nel percorso di compliance al nuovo regolamento europeo sui dati personali è la redazione e l'aggiornamento di un registro delle attività oggetto del trattamento. Ogni governance del dato personale non può prescindere da un sistematico censimento delle banche dati che contengono dati personali presenti in azienda. Come si può mettere in sicurezza i dati personali se non sappiamo neanche quali dati trattiamo? Il registro dei trattamenti svolge un ruolo essenziale in questo contesto e deve fornire tutta una serie di informazioni sulle banche dati che contengono dati personali che andiamo a trattare, quali categorie di interessati comprendono, quali sono le finalità del trattamento, che tipologia di dati personali sono, su quale base legale vengono trattati, quale deve essere la durata del trattamento massima in base agli obblighi di legge. Ecco quindi che il registro delle attività di trattamento diventa lo strumento fondamentale attorno al quale ru...

La scadenza del 25 maggio 2018 si sta avvicinando a grandi passi e presto la compliance al GDPR sarà in cima alle priorità di molte aziende private ed enti pubblici. La domanda che molti si porranno allora sarà da che parte bisogna cominciare. Al primo posto della check-list c'è la scelta del DPO, il Data Protection Officer o se volete il responsabile della protezione dei dati nella traduzione italiana del testo di legge è la figura chiave per assicurare la compliance al nuovo regolamento europeo sui dati personali. Non è però sempre chiaro come questa figura debba essere scelta e quali debbano essere le sue mansioni. Recentemente il Garante dei Dati Personali, con newsletter del 15 settembre 2017, n. 432, si è espresso sui requisiti del Data Protection Officer, ribadendo che una certificazione anche se utile non è assolutamente obbligatoria, né dovrà essere costituito un apposito albo professionale. Allora vediamo quali dovranno essere i suoi compiti ed i criteri in base ai qu...

La valutazione dei rischi privacy o Privacy Impact Assessment (PIA) è uno dei punti più importanti introdotti dal nuovo regolamento europeo sui dati personali agli articoli 35 e 36, l'onere è in capo al titolare del trattamento e l'inadempienza della norma comporta sanzioni pecuniarie fino a 10.000.000 di Euro o fino al 2% del fatturato annuo globale dell'anno precedente la violazione, quindi questa volta sanzioni molto importanti e badate bene: il regolamento europeo è una legge e non una direttiva quindi non ci saranno rinvii come molti auspicano. Inoltre essendo una legge che coinvolge tutti e 28 i paesi europei - sì per adesso anche la Gran Bretagna - nel caso di una violazione avvenuta in Italia dei diritti di un cittadino che risiede in un altro paese dell'UE, sarà proprio il garante di quel paese, magari proprio il garante britannico, che verrà qui col coltello tra i denti a fare un sacco di domande scomode all'azienda responsabile della violazione. Prim...

Ormai manca poco più di un anno ed il nuovo regolamento europeo sulla privacy meglio conosciuto come GDPR sarà operativo a tutti gli effetti comprese le pesanti sanzioni per le aziende che non si adegueranno alla normativa. Ma come si può fare per verificare che la nostra attività sia effettivamente a posto col regolamento? Ecco una sintetica roadmap in 10 punti ognuno dei quali andrebbe sicuramente approfondito ma si tratta comunque di una buona base di partenza. Condurre un data audit interno. Predisporre un'analisi di tutti i trattamenti e le tipologie di banche dati che trattano dati personali presenti in azienda. Verificare se esistono particolari tipi di trattamenti che richiedono particolari accorgimenti. Portare alla luce tutte le vulnerabilità che potrebbero portare l'azienda a non essere in linea con il GDPR. Creare e manutenere un inventario di tutto l'ambiente digitale aziendale, comprensivo di tutte le piattaforme dove sono contenute le banche dati che ...

È stato pubblicato in questi giorni il rapporto 2017 sulla sicurezza ICT in Italia. Il Clusit è un'associazione che ha sede al Dipartimento di Informatica dell'Università degli Studi di Milano che si occupa di diffondere la cultura della sicurezza informatica presso le aziende, le PA ed i cittadini in generale. Tra i suoi scopi istituzionali c'è quello di contribuire alla definizione di percorsi formativi per le figure professionali che operano nel settore, di partecipare agli iter delle leggi e dei regolamenti che coinvolgono la sicurezza informatica oltre a quello di promuovere le tecnologie che aumentino il livello di protezione degli ambienti digitali nei quali operiamo. Per questo il Clusit coinvolge oltre 500 operatori del mondo accademico, produttivo e governativo. Dal rapporto, che può essere scaricato gratuitamente dal sito del Clusit , emerge come il 2016 sia stato a livello globale l'annus horribilis per la sicurezza informatica dovuto ad una sistematica ...

Il Cybersecurity Framework è stato pubblicato negli Stati Uniti d'America nel febbraio del 2014 in seguito ad un provvedimento dell'amministrazione Obama. Si tratta di uno standard nato da un processo al quale hanno collaborato istituzioni governative, universitarie e produttive che facevano riferimento al National Institute of Standard and Technology (NIST). Lo scopo principale del framework è quello di creare uno strumento di facile utilizzo e comprensione per l'analisi del rischio cyber che potesse adattarsi a tutti i possibili contesti, dalle grandi infrastrutture strategiche alle piccole e medie aziende. Il compito del NIST è quello di provvedere al costante aggiornamento del framework per rispondere al rapido evolversi dell'ambiente digitale nel quale operano imprese e istituzioni.   Il Cybersecurity Framework si basa essenzialmente su una valutazione dei rischi cyber che coinvolge 5 funzioni: identificazione protezione individuazione reazione ripristino ...

L'azienda SAS leader in digital analytics mi ha mandato una brochure che riguarda l'Internet of Things (acronimo IoT) di cui molto si parla in questo momento come il nuovo orizzonte digitale che nel prossimo futuro investirà ogni aspetto della nostra vita: oggetti interconnessi in rete che ci forniscono in tempo reale informazioni sulle utenze domestiche, sul traffico, sul nostro stato di salute, sulla nostra attività fisica e molto altro ancora. Potete scaricare la brochure a questo indirizzo compilando la form. Nei primi anni novanta quando lavoravo alla Olivetti (rete indiretta) ci mandarono ad una convention nella quale veniva lanciato il progetto di Olivetti sulla domotica e ci raccontarono con il solito entusiasmo visionario che contraddistingueva queste riunioni che di li a qualche anno ogni casa avrebbe avuto il suo computer che avrebbe gestito tutti i dispositivi dalle tapparelle, alla lavapiatti, al microonde. Ancora il termine Internet of Things, in italiano ...

Il nuovo regolamento europeo sulla protezione dei dati personali UE 2016/679 è stato approvato nel maggio del 2016 e prenderà il posto del precedente Codice della Privacy (D.Lgs. n. 196/2003) e verrà adottato da tutti i paesi membri nel maggio del 2018. Nel nuovo regolamento europeo si passa dal concetto di territorialità del dato personale al concetto di nazionalità del dato personale, ne consegue che tutti i dati dei cittadini che fanno parte di un paese membro dell'Unione Europea sono soggetti a questa direttiva anche quando questi sono effettivamente inclusi in applicazioni che risiedono fuori dai confini europei. In questi casi si parla di paesi terzi per i quali il trasferimento è consentito in presenza della decisione di adeguatezza della commissione, è un passaggio importante se si pensa che la maggior parte dei giganti del web: Google, Microsoft, Facebook, Amazon offrono servizi e applicazioni informatiche cloud la cui titolarità risiede negli Stati Uniti d'Americ...