Privacy e Cyber Security

Dal 25 maggio 2018 tutti gli stati membri dell’Unione Europea faranno riferimento ad un’unica normativa privacy, il Regolamento europeo sulla protezione dei dati, c.d. GDPR.

Tutte le Pubbliche Amministrazioni e le aziende che trattano dati personali dovranno investire in innovazione, per migliorare i processi, rendendoli più sicuri. Dovranno adeguare i sistemi informativi e i sistemi organizzativi, attuando scelte tecnologiche, avviare delle procedure di sicurezza per protezione dei dati ritenute adeguate al loro caso specifico. Si dovranno, inoltre, dotare di un Responsabile della Protezione dei dati (DPO).

Il ruolo di DPO potrà essere rivestito da una persona fisica, da un’organizzazione o da un team, in possesso di idonee competenze. È una nuova figura di riferimento per imprese e PA, per utenti e clienti e sarà l’interfaccia con le autorità garanti. Nel settore privato dovrà essere nominato in caso di trattamenti di dati particolari su larga scala o di monitoraggio sistematico degli interessati su larga scala e comunque quando previsto dal diritto nazionale.

Lo Studio Giuliano e Di Gravio ha costituito il Team Privacy e Cyber Security, gruppo di professionisti ed esperti di alto profilo professionale riconosciuto a livello internazionale, in grado di accompagnare i propri clienti in tutte le fasi di questa delicata gestione, ovvero i processi di adeguamento rispetto alla nuova normativa, le misure tecnologiche da adottare e la formazione da erogare ai dipendenti. Ciò grazie alla competenza dei suoi consulenti, costantemente aggiornati sulle materie oggetto della consulenza.

Il Team è in grado di redigere un assessment preliminare e di evidenziare le carenze da colmare. Infatti, la scelta delle misure di sicurezza interverrà solo a seguito dell’analisi della tipologia di dati oggetto del trattamento e della valutazione dell’impatto delle operazioni su di essi. È inoltre necessario un monitoraggio continuo per confermarne la costante adeguatezza. Delle scelte effettuate sarà necessario produrre una documentazione che ne spieghi le ragioni (accountability).

Nel definire il programma di intervento occorrerà seguire il principio del “data protection by design and default”, al fine di tutelare il dato sin dalla progettazione di sistemi informatici che ne prevedano l’utilizzo e di tutelare la vita privata dei cittadini “di default” appunto, cioè come impostazione predefinita.

Il nuovo regolamento inoltre prevede che la richiesta di consenso sottoposta all’utente debba essere “intellegibile e facilmente accessibile” e deve specificare l’uso che il titolare ha intenzione di fare dei dati, il periodo di conservazione e l’eventuale intenzione di trasferirli a un paese terzo.

Un altro aspetto da dover considerare nel processo di conformazione al GDPR   è il data breach, che prevede l’obbligo del titolare del trattamento di notificare l’avvenuta violazione entro 72 ore all’Autorità nazionale di riferimento, e in alcuni casi anche all’utente.

Per chi non si adegua in tempo, le sanzioni non saranno trascurabili: la nuova legge prevede multe fino al 4% del fatturato globale annuo o una sanzione di 20 milioni di euro (a seconda di quale sia la cifra maggiore tra le due).

È per questo che il Team porrà in essere una complessa attività di valutazione, sia dal punto di vista organizzativo, che tecnico e giuridico.

 

Team Privacy e Cyber Security

Avv. Enrico Anzidei – Esperto Privacy – Processi aziendali

Dott.ssa Daniela Di Gravio – Esperta Privacy – Processi e Flussi informativi

Avv. Massimo GiulianoLegal advisors – Compliance 

Prof. avv. Enrico MoscatiLegal advisors

Dott. Salvatore Scherillo – Esperto Privacy – Processi aziendali

Avv. Massimiliano Spada – Esperto Privacy.

Prof. Maurizio Talamo – Professore Ordinario di Sicurezza Informatica presso l’Università degli Studi di Roma “Tor Vergata”-  esperto di cybersecurity e privacy protection.

Prof. Franco Arcieri – esperto di sicurezza informatica

Dott. Andrea Dimitri – esperto di sicurezza informatica

Corporate Advisors s.r.l.Data Protection Officer (DPO)

**

L’attività svolta dal Team unisce alla conformità alla normativa la competenza nell’elaborazione di specifici modelli organizzativi, secondo quanto previsto dal D.Lgs. 231/01, con l’intento di creare all’interno dell’azienda o della PA una nuova cultura di gestione della privacy, attraverso una gestione dinamica e proattiva con il relativo sistema di adeguamento e l’individuazione e/o definizione di soluzioni tecnologiche personalizzate sulla base delle caratteristiche dell’organizzazione pubblica o privata, a seguito della mappatura della filiera del dato e della valutazione dei rischi.

Il Team provvederà ad approntare misure di sicurezza per la protezione dei dati per garantire la riservatezza, integrità, disponibilità per il titolare e portabilità nonché ulteriori misure di sicurezza in grado di monitorare e certificare che, sulla base delle regole stabilite, i dati non sono stati manipolati, diffusi o dispersi.

Verranno poi implementate misure di sicurezza in grado di documentare in modo certificato dove e perché è stato violato il dato protetto, in caso di “data breach”.

**

In collaborazione con la Fondazione Universitaria Inuit “Tor Vergata” siamo in grado di offrire dei percorsi formativi per l’acquisizione delle competenze da DPO e per la sicurezza informatica ai vari livelli dei ruoli previsti all’interno dal modello di gestione delle informazioni.

 

Scarica le News:

Linee guida concernenti la valutazione di impatto sulla protezione dei dati
Regulation 2016/679 (GDPR) will apply from 25 May 2018. Article 35 of the GDPR introduces the
concept of a Data Protection Impact Assessment (DPIA), as does Directive 2016/680.
A DPIA is a process designed to describe the processing[]

Pa e aziende pubbliche in ritardo e con pochi fondi
Se la situazione delle imprese, come documenta l’Osservatorio del Politecnico, registra un incremento degli investimenti nel
campo della cybersicurezza, il mondo della pubblica amministrazione e dei suoi apparati informatici centrali e locali rischia di
arrivare molto impreparato.[]

Regolamento UE 2016 679
REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone  fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)[]

Valutazione d impatto dulla protezione dei dati  – DPIA
È una procedura prevista dall’articolo 35 del Regolamento UE/2016/679 (RGDP) che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Una DPIA può riguardare un singolo trattamento[]

Linee guida sui responsabili della protezione dei dati (RPD)
Il regolamento generale sulla protezione dei dati (RGPD), che esplicherà i propri effetti a partire dal 25 maggio 2018, offre un quadro di riferimento in termini di compliance per la protezione dei dati in Europa, aggiornato e fondato sul principio di responsabilizzazione (accountability). I  responsabili della protezione dei dati (RPD) saranno al centro di questo nuovo quadro giuridico in molti ambiti, e saranno chiamati a facilitare  l’osservanza delle disposizioni del RGPD.[]