Il nuovo regolamento Europeo sulla Protezione dei Dati

Transcript

Il nuovo regolamento
Europeo sulla Protezione
dei Dati personali – Impatti
aziendali
In collaborazione con
Venerdì 2 dicembre 2016
Hotel NH Padova
Via Tommaseo, 61- 35131 Padova PD
Obiettivi
La recente approvazione del Regolamento UE sulla Protezione dei Dati personali
(2016/679) è un evento importante che avrà un impatto significativo sulla vita dei
cittadini dell’UE e sulle organizzazioni che operano trattando dati personali. La
norma, che si applica a decorrere dal 25 maggio 2018 richiede, tra altre cose, di
migliorare i sistemi IT e le misure di sicurezza ed è la conseguenza dei grandi
cambiamenti generati dalla digital transformation che sta rendendo i dati personali
una fonte di profitti per quasi tutti i settori d’impresa ma anche, allo stesso tempo,
un tema cruciale per la libertà, la democrazia ed i diritti civili.
Le aziende hanno bisogno di conoscere le nuove regole ed adottare le migliori
pratiche per proteggere i dati. Non solo le grandi imprese ma anche quella vasta
platea di medie e piccole imprese che ormai trattano on line rilevanti quantità di dati
personali.
Per questo, tenere alta l’attenzione sui temi connessi alla protezione dei dati
personali è obbligatorio per chiunque si occupi di IT, di sicurezza e di compliance:
esperti di IT, responsabili della sicurezza e della compliance, CxO, fornitori di
tecnologia, system integrators, consulenti, avvocati, tutti hanno la necessità di
essere aggiornati su ciò che accade e sulle tendenze in atto.
Programma
9:00 9:30
9:30- 9:45
9:45-10:15
10:15-10:45
10:45-11:15
11:15 -11:45
11:45-12:15
12:15-12:45
12:45-13:15
13:30
Registrazione
Benvenuto
Marco Salvato,
VENICE Chapter
Presidente
ISACA
Data Protection alla
luce della Digital
Trasformation
Dott.ssa Francesca Gatti; Senior
Consultant; Segretario di AUSED,
Oracle Community for Security;
Coordinatore Europrivacy.info
Principi generali e
principali innovazioni
del GDPR
Dott. Avv. Andrea Reghelin; Associate
partner P4I – Partners 4 Innovation;
Coordinatore
La sicurezza nel
GDPR:
dall’analisi
dei
rischi
alla
disclosure dei data
breach
Dott. Alessandro Vallega; Security BD
Director Oracle Europe; Oracle
Community for Security; CD Clusit;
Coordinatore Europrivacy.info
Coffe break offerto da ISACA VENICE
Il GDPR e le PMI: i
codici di condotta
per una compliance
sostenibile ed
efficace
Dott. Sergio Fumagalli; VP Zeropiu,
Board Clusit, membro del GdL Privacy
AISIS / Clusit; Oracle Community for
Security; Coordinatore Europrivacy.info
Privacy Management
Framework (PMA) di
KPMG
Ing Luca Lora Lamia; Senior Manager
KPMG Advisory
Q&A
All
Pranzo offerto da ISACA VENICE
ISACA VENICE Chapter
CF 90017300261 - P.IVA 04503890263
www.isacavenice.org [email protected]
2
Destinatari
Manager, Responsabili organizzazione, Professionisti nel settore IT, Auditor, IS
Auditor, Addetti ai Sistemi Informativi, Addetti alla Sicurezza delle informazioni,
Responsabile della sicurezza delle informazioni, Consulenti, IT Risk Manager,
Responsabile Qualità dei Dati, Responsabile Rischi Operativi, Studenti universitari
o Neolaureati.
Logistica
Sede: NH Hotel Padova, Via Tommaseo 61, 35129 Padova PD
Data: Venerdì 2 Dicembre 2016
Orario: 09:00 – 13.00
Iscrizioni e
costi
Il costo dell’evento è di € 150 (+ IVA).
Per chi si vuole associarsi al capitolo ISACA VENICE, con validità per tutto il 2017,
il costo complessivo è di € 160 (esente IVA).
Per i Soci ISACA VENICE e degli altri capitoli ISACA, Aused e Clusit, la
partecipazione è gratuita, previa iscrizione soggetta a conferma.
Inviare la scheda di adesione a [email protected] entro il 25 novembre
2016.
Per motivi organizzativi i partecipanti saranno avvisati con mail di conferma.
ISACA VENICE Chapter si riserva la facoltà di apportare qualsiasi modifica al
programma dell’evento.
CPE
L’evento permette di acquisire 4 ore CPE per le certificazioni CISA, CISM, CGEIT,
CRISC, ISO27000LA, CSSP.
CF 90017300261 - P.IVA 04503890263
3
ABSTRACT
Data Protection alla luce della Digital Trasformation, IoT e Big Data
Dott.ssa Francesca Gatti
Le previsioni sul valore dell’Internet of Things nel mondo, alla base della Digital Transformation e
alimentatore del big Data, sono enormi. Gli analisti parlano di un impatto economico potenziale
tra 3.9 e 11 trilioni di dollari all’anno, a partire dal 2025. Tutti i settori saranno interessati: dal
manifatturiero alle città, dalla grande distribuzione alla domotica, al wellness e all’e-health, al
turismo.
La sfida più complessa per la Digital Transformation non sembra tanto quella tecnologica o quella
dei nuovi modelli di business, ma piuttosto quella della gesione dei dati, specialmente quelli
sensibili, prodotti dai sistemi connessi sempre più diffusi nelle case, nelle auto, nelle città.
Il GDPR pone l’accento sulla necessità di adottare un nuovo approccio concettuale, in forza del
quale la tutela della privacy non si configuri come strumento rimediale e successivo rispetto al
trattamento dei dati, bensì come componente intrinseca dell’architettura del device o
dell’applicazione (c.d. privacy by design).
La medesima logica di anticipazione della tutela della riservatezza già al momento della
progettazione del dispositivo è alla base del PIA (Privacy Impact Assessment), anch’esso inserito
nel Regolamento UE, procedimento teso ad operare una valutazione prognostica dell’impatto dei
dispositivi IoT sulla privacy degli utenti e sui potenziali profili di rischio, prima della immissione sul
mercato.
In questa sessione cercheremo di trovare il punto di equilibrio tra maggior controllo per gli utenti
sul trattamento dei propri dati personali e accessibilità a servizi innovativi per una miglior qualità
della vita, identificando soluzioni idonee a garantire la crescita del settore e la conformità con la
disciplina privacy secondo modalità che preservano il valore e l’efficienza del prodotto.
Principi generali e principali innovazioni del GDPR
Dott. Avv. Andrea Reghelin
L’analisi delle innovazioni introdotte dal GDPR non può che prendere le mosse dell’esame dei
principi generali che devono governare la gestione della data protection all’interno delle
organizzazioni e delle conseguenze della loro applicazione alle attività di trattamento.
Leggendo il testo del Regolamento ci si accorgerà come i suddetti principi non costituiscono
semplicemente delle indicazioni teoriche, ma permeano le successive norme del testo e sono il
parametro attraverso il quale si dovrà valutare la compliance delle organizzazioni, tenute
a “comprovare” il loro rispetto.
L’intervento, dopo una disamina dei principi generali del GDPR, si concentrerà sugli aspetti
maggiormente innovativi della nuova regolamentazione in materia di data protection nonché
sull’impatto degli stessi per le organizzazioni, soprattutto da un punto di vista organizzativo
e gestionale.
Il GDPR e le PMI: i codici di condotta per una compliance sostenibile ed efficace
Dott. Sergio Fumagalli
Il principio di accountability che il Regolamento europeo sulla data protection pone alla base dei
compiti del Titolare e del Responsabile dei trattamenti rimuove molti vincoli burocratici ma rende
più complessa l’applicazione della normativa. Questo renderà ancora più difficile l’applicazione
della norma per le PMI italiane che costituiscono però l’ossatura del sistema economico del
Paese.
CF 90017300261 - P.IVA 04503890263
4
Il GDPR affronta l’esigenza di consentire anche ad aziende di dimensioni medie o medio piccole
una compliance efficace e sostenibile mediante strumenti di soft law, cioè attraverso la redazione
di Codici di Condotta.
Nel corso dell’intervento verranno approfonditi questi temi, fino a definire una sorta di agenda
operativa mediante la quale anche le associazioni stesse possono costruire nuovi profili di
rappresentanza dei propri associati, con l’obiettivo congiunto di sostenibilità ed efficacia della
compliance.
La sicurezza nel GDPR: dall’analisi dei rischi alla disclosure dei data breach
Dott. Alessandro Vallega
Il regolamento Europeo richiede al titolare e al responsabile di adottare delle appropriate misure
di sicurezza commisurate ai rischi del trattamento. Tale responsabilità e la scelta delle misure
implica l'uso di molto buon senso, una sana pragmaticità, moderne metodiche di analisi dei rischi
e l'uso di standard e best practice internazionali. Inoltre viene fatta richiesta di progettare
trattamenti sicuri "by design e per default" e di comunicare senza immotivati ritardi eventuali
incidenti di sicurezza. Che impatto hanno questi obblighi sul modo in cui progettiamo i sistemi
informativi?
Privacy Management Framework (PMA) di KPMG Advisory
Luca Lora Lamia
Il “Privacy Management Framework” (PMA), sviluppato da KPMG a livello internazionale,
permette una completa comprensione dei processi di gestione della Privacy trasversalmente alla
Società e per tutto il ciclo di vita dei dati personali. Il PMA rappresenta un potente strumento per
garantire la conformità al GDPR, migliorando l’identificazione e il governo dei principali rischi a
cui è esposta l’organizzazione, in relazione alla tipologia di dati trattati ed alle fattispecie di
trattamenti svolti. Tale strumento permette inoltre di valutare il livello di maturità della gestione e
del governo della Privacy supportando il disegno e l’adozione di un Sistema di Gestione per la
Privacy coerente con lo spirito della nuova normativa europea.
BREVI NOTE PERSONALI SUI RELATORI
Francesca Gatti, CISA, CGIT
Senior Consultant; Segretario AUSED; Oracle Community for Security; Coordinatore
Europrivacy.info. Al termine di una vita di lavoro dedicata ai sistemi informativi in aziende
multinazionali, ho rilevato un pacchetto di quote di una start up del settore medico, specializzato
in dispositivi tecnologicamente avanzati per la protesica, dove ho ottenuto la certificazione
ISO9001 e ISO13485 dell’Azienda e completato un importante bando della Regione Lombardia e
del MIUR su un progetto di innovazione tecnologica medica. Ricopro la posizione di Segretario
Generale e Tesoriere di AUSED e continuo a fornire consulenza per progetti di qualità, sicurezza
e governance dei sistemi informativi. CISA dal 2006 e CIGIT dal 2008 coordino l’Osservatorio
Sicurezza e Compliance di AUSED, partecipo alla Community Oracle for Security da 9 anni e
sono cofondatore e membro del Gruppo di Coordinamento di europrivacy.info.
CF 90017300261 - P.IVA 04503890263
5
Andrea Reghelin
Legale, associate partner di P4I – Partners4Innovation, dopo una specializzazione in
organizzazione d’impresa e tecnologie dell’informazione, svolge dal 2004 l’attività di consulente
direzionale nei settori del diritto dell’informatica e della responsabilità amministrativa degli enti
dipendente da reato. Nel primo ambito, ha acquisito notevole esperienza nel supporto alle
imprese e pubbliche amministrazioni su tematiche legali connesse alla gestione dei sistemi
informativi (contratti informatici, gestione degli adempimenti privacy, data retention, sicurezza
informatica, investigazioni informatiche, firme elettroniche e dematerializzazione, ecc.). Nel
secondo ambito coadiuva le organizzazioni (dalle PMI ai gruppi societari) nella creazione dei
protocolli per la prevenzione degli illeciti amministrativi e penali (white collar crimes) anche
nell’ambito di progetti di adeguamento al d.lgs. 231/2001 in materia di responsabilità
amministrativa degli enti dipendente da reato. Nelle materie di competenza partecipa come
docente a convegni, seminari e ed è autore di numerosi articoli su riviste specializzate.
Sergio Fumagalli
Vice President Zeropiu Spa, società di system integration e consulenza specializzata sui temi
della sicurezza delle identità digitali e dei dati, attiva in Italia e nei Paesi Scandinavi. Dopo una
lunga attività, con diversi e crescenti ruoli, in Digital Equipment Corporation, affronta
un’esperienza parlamentare nella XIII legislatura, dal 2001 inizia a occuparsi professionalmente
di Privacy, collaborando con il Garante della Privacy negli anni della approvazione del d.lgs.
196/03. Partecipa, fin dal 2008 alla Oracle Community for Security. E’ membro del Board di Clusit
e coordina il gruppo di lavoro sul Regolamento europeo sulla privacy che gestisce il sito
Europrivacy.info. Dal 2004 al 2012 è stato Vice Presidente del Cda di Webank, la banca online
del gruppo BPM.
Alessandro Vallega
Alessandro Vallega, in Oracle Italia dal 1997 come Project Manager in ambito ERP e
nell’Information Technology dal 1984, è Business Development Director e si occupa a livello
Europeo di Governance Risk and Compliance, Database Security ed Identity & Access
Management. Ha definito ed esportato un approccio per valutare la Security Maturity dei database
e per valutare i vantaggi aziendali nell’uso di soluzioni IAM. Inoltre è il fondatore e il coordinatore
della Oracle Community for Security. E’ coautore, editor o team leader di una decina di
pubblicazioni su diversi temi legati alla sicurezza (misure, rischio, frodi, ritorno dell’investimento,
compliances, privacy...) liberamente scaricabili dal sito Clusit (http://c4s.clusit.it). Ha fondato
insieme a Clusit e ad Aused un osservatorio permanente sulla nuova legge europea per la
Protezione dei Dati Personali chiamato EuroPrivacy.info. Contribuisce fin dal 2012 ai Rapporti
Clusit sulla Sicurezza ICT in Italia. E’ socio AIEA, CSA Italy e membro del Consiglio Direttivo di
Clusit.
Luca Lora Lamia
Ha maturato oltre 10 anni di esperienza nel governo di programmi e progetti di grandi dimensioni,
di innovazione organizzativa e tecnologica relativi a tematiche quali IT risk analysis, ICT
compliance assessment, sistemi di gestione (in particolare per la sicurezza delle informazioni),
business continuity, antifrode e protezione dei dati personali. In KPMG dal 2007, lavora tra Roma
e Milano; nel 2014 come Senior Manager si sposta in triveneto dove coordina e gestisce i progetti
di Information Risk Management del Triveneto.
CF 90017300261 - P.IVA 04503890263
6
Iniziativa realizzata grazie a:
Sostenitore Platinum
Sponsor Platinum
Sostenitore Platinum
Sponsor Platinum
con il patrocinio di:
Compilare ed inviare la scheda di iscrizione a [email protected].
Per motivi organizzativi i partecipanti saranno avvisati con mail di conferma.
ISACA VENICE Chapter si riserva la facoltà di apportare qualsiasi modifica al programma
dell’evento.
CF 90017300261 - P.IVA 04503890263
7
ISACA – Information Systems Audit & Control Association
E' una associazione internazionale, indipendente e senza scopo di lucro. Con oltre 140.000 associati
in più di 180 Paesi, ISACA© (www.isaca.org) aiuta i leader delle imprese e dell’IT a massimizzare il
valore ottenibile dalle informazioni e dalla tecnologia e a gestirne i relativi rischi.
Fondata nel 1969, ISACA è una fonte affidabile di conoscenze, standard, opportunità di relazioni e
sviluppo di carriera per professional che si occupano di audit, assurance, sicurezza, rischi, privacy
e governance dai sistemi informativi.
ISACA mette a disposizione Cybersecurity Nexus™, un completo insieme di risorse per i professional
della cyber security, e COBIT©, un framework per le aziende che aiuta le imprese nel gestire e
governare il loro sistema informativo e le tecnologie informatiche.
ISACA sviluppa e attesta le conoscenze e le competenze critiche per le imprese attraverso le
seguenti certificazioni affermate in tutto il mondo: CISA® (Certified Information Systems Auditor),
CISM® (Certified Information Security Manager), CGEIT® (Certified in the Governance of Enterprise
IT) e CRISC™ (Certified in Risk and Information Systems Control).
Nel mondo sono associati ad ISACA più di 200 capitoli.
ISACA VENICE Chapter è un'associazione non profit costituita in Venezia nel novembre 2011 da un
gruppo di professionisti del Triveneto che operano nel settore della Gestione e del Controllo dei
Sistemi Informativi.
Riunisce coloro che nell'Italia del Nord Est svolgono attività di Governance, Auditing, Controllo e
Security dei Sistemi Informativi promuovendo le competenze e le certificazioni professionali
sviluppate da ISACA.
L'associazione favorisce lo scambio di esperienze, promuove un processo di sensibilizzazione di
tutti i livelli organizzativi aziendali alla necessità di stabilire adeguati criteri di controllo sia di
affidabilità dell'organizzazione sia di sicurezza dei sistemi.
Maggiori informazioni su www.isacavenice.org
ISACA VENICE PER L’ATTIVITA’ SVOLTA NEL 2015 HA RICEVUTO I SEGUENTI
RICONOSCIMENTI:
 honorable mention per il K. Wayne Snipes Best Chapter Award 2015
 Communications Commendation.
CF 90017300261 - P.IVA 04503890263
8
Scheda di Iscrizione da inviare a [email protected] entro 25.11.2016
Il nuovo regolamento Europeo sulla Protezione dei Dati personali –
Impatti aziendali
DATI PERSONALI:
Cognome:
Nome:
Indirizzo:
Cap:
Città:
Città:
Prov.:
Telefono:
Cell:
E-mail:
ID Associato:
Pagamento: bonifico bancario intestato a ISACA VENICE Chapter
Nella causale indicare il nominativo del partecipante.
Coordinate bancarie, intestazione ISACA VENICE CHAPTER
IBAN IT 4 3Y 03075 02200 CC8500615320
Banca Generali, piazza Cavour 5, 34132 - Trieste (TS)
SWIFT Code: BGENIT2T
GARANZIE E DIRITTI DELL’INTERESSATO in ottemperanza al D. Lgs. 196/03 "Codice in materia di protezione
dei dati personali". I dati personali in possesso dell'Associazione sono direttamente da Lei forniti ovvero acquisiti
altrimenti nel rispetto delle disposizioni legislative vigenti e potranno formare oggetto di trattamento per gli scopi
amministrativi del presente corso. Titolare del trattamento è ISACA VENICE CHAPTER che è a disposizione per
l’eventuale aggiornamento, rettifica, integrazione o cancellazione.
Data
Firma
CF 90017300261 - P.IVA 04503890263
9

Il nuovo regolamento Europeo sulla Protezione dei Dati

Transcript

Documenti analoghi

Guida ai vantaggi per gli associati

Cyber Risk Management with COBIT

Scenari di Rischio

SECURITY AWARENESS

Corrado Giustozzi

lead auditor iso/iec 27001

Business Continuity_ISACA GC