Il nuovo regolamento Europeo sulla Protezione dei Dati
Transcript
Il nuovo regolamento Europeo sulla Protezione dei Dati
Il nuovo regolamento Europeo sulla Protezione dei Dati personali – Impatti aziendali In collaborazione con Venerdì 2 dicembre 2016 Hotel NH Padova Via Tommaseo, 61- 35131 Padova PD Obiettivi La recente approvazione del Regolamento UE sulla Protezione dei Dati personali (2016/679) è un evento importante che avrà un impatto significativo sulla vita dei cittadini dell’UE e sulle organizzazioni che operano trattando dati personali. La norma, che si applica a decorrere dal 25 maggio 2018 richiede, tra altre cose, di migliorare i sistemi IT e le misure di sicurezza ed è la conseguenza dei grandi cambiamenti generati dalla digital transformation che sta rendendo i dati personali una fonte di profitti per quasi tutti i settori d’impresa ma anche, allo stesso tempo, un tema cruciale per la libertà, la democrazia ed i diritti civili. Le aziende hanno bisogno di conoscere le nuove regole ed adottare le migliori pratiche per proteggere i dati. Non solo le grandi imprese ma anche quella vasta platea di medie e piccole imprese che ormai trattano on line rilevanti quantità di dati personali. Per questo, tenere alta l’attenzione sui temi connessi alla protezione dei dati personali è obbligatorio per chiunque si occupi di IT, di sicurezza e di compliance: esperti di IT, responsabili della sicurezza e della compliance, CxO, fornitori di tecnologia, system integrators, consulenti, avvocati, tutti hanno la necessità di essere aggiornati su ciò che accade e sulle tendenze in atto. Programma 9:00 9:30 9:30- 9:45 9:45-10:15 10:15-10:45 10:45-11:15 11:15 -11:45 11:45-12:15 12:15-12:45 12:45-13:15 13:30 Registrazione Benvenuto Marco Salvato, VENICE Chapter Presidente ISACA Data Protection alla luce della Digital Trasformation Dott.ssa Francesca Gatti; Senior Consultant; Segretario di AUSED, Oracle Community for Security; Coordinatore Europrivacy.info Principi generali e principali innovazioni del GDPR Dott. Avv. Andrea Reghelin; Associate partner P4I – Partners 4 Innovation; Coordinatore La sicurezza nel GDPR: dall’analisi dei rischi alla disclosure dei data breach Dott. Alessandro Vallega; Security BD Director Oracle Europe; Oracle Community for Security; CD Clusit; Coordinatore Europrivacy.info Coffe break offerto da ISACA VENICE Il GDPR e le PMI: i codici di condotta per una compliance sostenibile ed efficace Dott. Sergio Fumagalli; VP Zeropiu, Board Clusit, membro del GdL Privacy AISIS / Clusit; Oracle Community for Security; Coordinatore Europrivacy.info Privacy Management Framework (PMA) di KPMG Ing Luca Lora Lamia; Senior Manager KPMG Advisory Q&A All Pranzo offerto da ISACA VENICE ISACA VENICE Chapter CF 90017300261 - P.IVA 04503890263 www.isacavenice.org [email protected] 2 Destinatari Manager, Responsabili organizzazione, Professionisti nel settore IT, Auditor, IS Auditor, Addetti ai Sistemi Informativi, Addetti alla Sicurezza delle informazioni, Responsabile della sicurezza delle informazioni, Consulenti, IT Risk Manager, Responsabile Qualità dei Dati, Responsabile Rischi Operativi, Studenti universitari o Neolaureati. Logistica Sede: NH Hotel Padova, Via Tommaseo 61, 35129 Padova PD Data: Venerdì 2 Dicembre 2016 Orario: 09:00 – 13.00 Iscrizioni e costi Il costo dell’evento è di € 150 (+ IVA). Per chi si vuole associarsi al capitolo ISACA VENICE, con validità per tutto il 2017, il costo complessivo è di € 160 (esente IVA). Per i Soci ISACA VENICE e degli altri capitoli ISACA, Aused e Clusit, la partecipazione è gratuita, previa iscrizione soggetta a conferma. Inviare la scheda di adesione a [email protected] entro il 25 novembre 2016. Per motivi organizzativi i partecipanti saranno avvisati con mail di conferma. ISACA VENICE Chapter si riserva la facoltà di apportare qualsiasi modifica al programma dell’evento. CPE L’evento permette di acquisire 4 ore CPE per le certificazioni CISA, CISM, CGEIT, CRISC, ISO27000LA, CSSP. ISACA VENICE Chapter CF 90017300261 - P.IVA 04503890263 www.isacavenice.org [email protected] 3 ABSTRACT Data Protection alla luce della Digital Trasformation, IoT e Big Data Dott.ssa Francesca Gatti Le previsioni sul valore dell’Internet of Things nel mondo, alla base della Digital Transformation e alimentatore del big Data, sono enormi. Gli analisti parlano di un impatto economico potenziale tra 3.9 e 11 trilioni di dollari all’anno, a partire dal 2025. Tutti i settori saranno interessati: dal manifatturiero alle città, dalla grande distribuzione alla domotica, al wellness e all’e-health, al turismo. La sfida più complessa per la Digital Transformation non sembra tanto quella tecnologica o quella dei nuovi modelli di business, ma piuttosto quella della gesione dei dati, specialmente quelli sensibili, prodotti dai sistemi connessi sempre più diffusi nelle case, nelle auto, nelle città. Il GDPR pone l’accento sulla necessità di adottare un nuovo approccio concettuale, in forza del quale la tutela della privacy non si configuri come strumento rimediale e successivo rispetto al trattamento dei dati, bensì come componente intrinseca dell’architettura del device o dell’applicazione (c.d. privacy by design). La medesima logica di anticipazione della tutela della riservatezza già al momento della progettazione del dispositivo è alla base del PIA (Privacy Impact Assessment), anch’esso inserito nel Regolamento UE, procedimento teso ad operare una valutazione prognostica dell’impatto dei dispositivi IoT sulla privacy degli utenti e sui potenziali profili di rischio, prima della immissione sul mercato. In questa sessione cercheremo di trovare il punto di equilibrio tra maggior controllo per gli utenti sul trattamento dei propri dati personali e accessibilità a servizi innovativi per una miglior qualità della vita, identificando soluzioni idonee a garantire la crescita del settore e la conformità con la disciplina privacy secondo modalità che preservano il valore e l’efficienza del prodotto. Principi generali e principali innovazioni del GDPR Dott. Avv. Andrea Reghelin L’analisi delle innovazioni introdotte dal GDPR non può che prendere le mosse dell’esame dei principi generali che devono governare la gestione della data protection all’interno delle organizzazioni e delle conseguenze della loro applicazione alle attività di trattamento. Leggendo il testo del Regolamento ci si accorgerà come i suddetti principi non costituiscono semplicemente delle indicazioni teoriche, ma permeano le successive norme del testo e sono il parametro attraverso il quale si dovrà valutare la compliance delle organizzazioni, tenute a “comprovare” il loro rispetto. L’intervento, dopo una disamina dei principi generali del GDPR, si concentrerà sugli aspetti maggiormente innovativi della nuova regolamentazione in materia di data protection nonché sull’impatto degli stessi per le organizzazioni, soprattutto da un punto di vista organizzativo e gestionale. Il GDPR e le PMI: i codici di condotta per una compliance sostenibile ed efficace Dott. Sergio Fumagalli Il principio di accountability che il Regolamento europeo sulla data protection pone alla base dei compiti del Titolare e del Responsabile dei trattamenti rimuove molti vincoli burocratici ma rende più complessa l’applicazione della normativa. Questo renderà ancora più difficile l’applicazione della norma per le PMI italiane che costituiscono però l’ossatura del sistema economico del Paese. ISACA VENICE Chapter CF 90017300261 - P.IVA 04503890263 www.isacavenice.org [email protected] 4 Il GDPR affronta l’esigenza di consentire anche ad aziende di dimensioni medie o medio piccole una compliance efficace e sostenibile mediante strumenti di soft law, cioè attraverso la redazione di Codici di Condotta. Nel corso dell’intervento verranno approfonditi questi temi, fino a definire una sorta di agenda operativa mediante la quale anche le associazioni stesse possono costruire nuovi profili di rappresentanza dei propri associati, con l’obiettivo congiunto di sostenibilità ed efficacia della compliance. La sicurezza nel GDPR: dall’analisi dei rischi alla disclosure dei data breach Dott. Alessandro Vallega Il regolamento Europeo richiede al titolare e al responsabile di adottare delle appropriate misure di sicurezza commisurate ai rischi del trattamento. Tale responsabilità e la scelta delle misure implica l'uso di molto buon senso, una sana pragmaticità, moderne metodiche di analisi dei rischi e l'uso di standard e best practice internazionali. Inoltre viene fatta richiesta di progettare trattamenti sicuri "by design e per default" e di comunicare senza immotivati ritardi eventuali incidenti di sicurezza. Che impatto hanno questi obblighi sul modo in cui progettiamo i sistemi informativi? Privacy Management Framework (PMA) di KPMG Advisory Luca Lora Lamia Il “Privacy Management Framework” (PMA), sviluppato da KPMG a livello internazionale, permette una completa comprensione dei processi di gestione della Privacy trasversalmente alla Società e per tutto il ciclo di vita dei dati personali. Il PMA rappresenta un potente strumento per garantire la conformità al GDPR, migliorando l’identificazione e il governo dei principali rischi a cui è esposta l’organizzazione, in relazione alla tipologia di dati trattati ed alle fattispecie di trattamenti svolti. Tale strumento permette inoltre di valutare il livello di maturità della gestione e del governo della Privacy supportando il disegno e l’adozione di un Sistema di Gestione per la Privacy coerente con lo spirito della nuova normativa europea. BREVI NOTE PERSONALI SUI RELATORI Francesca Gatti, CISA, CGIT Senior Consultant; Segretario AUSED; Oracle Community for Security; Coordinatore Europrivacy.info. Al termine di una vita di lavoro dedicata ai sistemi informativi in aziende multinazionali, ho rilevato un pacchetto di quote di una start up del settore medico, specializzato in dispositivi tecnologicamente avanzati per la protesica, dove ho ottenuto la certificazione ISO9001 e ISO13485 dell’Azienda e completato un importante bando della Regione Lombardia e del MIUR su un progetto di innovazione tecnologica medica. Ricopro la posizione di Segretario Generale e Tesoriere di AUSED e continuo a fornire consulenza per progetti di qualità, sicurezza e governance dei sistemi informativi. CISA dal 2006 e CIGIT dal 2008 coordino l’Osservatorio Sicurezza e Compliance di AUSED, partecipo alla Community Oracle for Security da 9 anni e sono cofondatore e membro del Gruppo di Coordinamento di europrivacy.info. ISACA VENICE Chapter CF 90017300261 - P.IVA 04503890263 www.isacavenice.org [email protected] 5 Andrea Reghelin Legale, associate partner di P4I – Partners4Innovation, dopo una specializzazione in organizzazione d’impresa e tecnologie dell’informazione, svolge dal 2004 l’attività di consulente direzionale nei settori del diritto dell’informatica e della responsabilità amministrativa degli enti dipendente da reato. Nel primo ambito, ha acquisito notevole esperienza nel supporto alle imprese e pubbliche amministrazioni su tematiche legali connesse alla gestione dei sistemi informativi (contratti informatici, gestione degli adempimenti privacy, data retention, sicurezza informatica, investigazioni informatiche, firme elettroniche e dematerializzazione, ecc.). Nel secondo ambito coadiuva le organizzazioni (dalle PMI ai gruppi societari) nella creazione dei protocolli per la prevenzione degli illeciti amministrativi e penali (white collar crimes) anche nell’ambito di progetti di adeguamento al d.lgs. 231/2001 in materia di responsabilità amministrativa degli enti dipendente da reato. Nelle materie di competenza partecipa come docente a convegni, seminari e ed è autore di numerosi articoli su riviste specializzate. Sergio Fumagalli Vice President Zeropiu Spa, società di system integration e consulenza specializzata sui temi della sicurezza delle identità digitali e dei dati, attiva in Italia e nei Paesi Scandinavi. Dopo una lunga attività, con diversi e crescenti ruoli, in Digital Equipment Corporation, affronta un’esperienza parlamentare nella XIII legislatura, dal 2001 inizia a occuparsi professionalmente di Privacy, collaborando con il Garante della Privacy negli anni della approvazione del d.lgs. 196/03. Partecipa, fin dal 2008 alla Oracle Community for Security. E’ membro del Board di Clusit e coordina il gruppo di lavoro sul Regolamento europeo sulla privacy che gestisce il sito Europrivacy.info. Dal 2004 al 2012 è stato Vice Presidente del Cda di Webank, la banca online del gruppo BPM. Alessandro Vallega Alessandro Vallega, in Oracle Italia dal 1997 come Project Manager in ambito ERP e nell’Information Technology dal 1984, è Business Development Director e si occupa a livello Europeo di Governance Risk and Compliance, Database Security ed Identity & Access Management. Ha definito ed esportato un approccio per valutare la Security Maturity dei database e per valutare i vantaggi aziendali nell’uso di soluzioni IAM. Inoltre è il fondatore e il coordinatore della Oracle Community for Security. E’ coautore, editor o team leader di una decina di pubblicazioni su diversi temi legati alla sicurezza (misure, rischio, frodi, ritorno dell’investimento, compliances, privacy...) liberamente scaricabili dal sito Clusit (http://c4s.clusit.it). Ha fondato insieme a Clusit e ad Aused un osservatorio permanente sulla nuova legge europea per la Protezione dei Dati Personali chiamato EuroPrivacy.info. Contribuisce fin dal 2012 ai Rapporti Clusit sulla Sicurezza ICT in Italia. E’ socio AIEA, CSA Italy e membro del Consiglio Direttivo di Clusit. Luca Lora Lamia Ha maturato oltre 10 anni di esperienza nel governo di programmi e progetti di grandi dimensioni, di innovazione organizzativa e tecnologica relativi a tematiche quali IT risk analysis, ICT compliance assessment, sistemi di gestione (in particolare per la sicurezza delle informazioni), business continuity, antifrode e protezione dei dati personali. In KPMG dal 2007, lavora tra Roma e Milano; nel 2014 come Senior Manager si sposta in triveneto dove coordina e gestisce i progetti di Information Risk Management del Triveneto. ISACA VENICE Chapter CF 90017300261 - P.IVA 04503890263 www.isacavenice.org [email protected] 6 Iniziativa realizzata grazie a: Sostenitore Platinum Sponsor Platinum Sostenitore Platinum Sponsor Platinum con il patrocinio di: Compilare ed inviare la scheda di iscrizione a [email protected]. Per motivi organizzativi i partecipanti saranno avvisati con mail di conferma. ISACA VENICE Chapter si riserva la facoltà di apportare qualsiasi modifica al programma dell’evento. ISACA VENICE Chapter CF 90017300261 - P.IVA 04503890263 www.isacavenice.org [email protected] 7 ISACA – Information Systems Audit & Control Association E' una associazione internazionale, indipendente e senza scopo di lucro. Con oltre 140.000 associati in più di 180 Paesi, ISACA© (www.isaca.org) aiuta i leader delle imprese e dell’IT a massimizzare il valore ottenibile dalle informazioni e dalla tecnologia e a gestirne i relativi rischi. Fondata nel 1969, ISACA è una fonte affidabile di conoscenze, standard, opportunità di relazioni e sviluppo di carriera per professional che si occupano di audit, assurance, sicurezza, rischi, privacy e governance dai sistemi informativi. ISACA mette a disposizione Cybersecurity Nexus™, un completo insieme di risorse per i professional della cyber security, e COBIT©, un framework per le aziende che aiuta le imprese nel gestire e governare il loro sistema informativo e le tecnologie informatiche. ISACA sviluppa e attesta le conoscenze e le competenze critiche per le imprese attraverso le seguenti certificazioni affermate in tutto il mondo: CISA® (Certified Information Systems Auditor), CISM® (Certified Information Security Manager), CGEIT® (Certified in the Governance of Enterprise IT) e CRISC™ (Certified in Risk and Information Systems Control). Nel mondo sono associati ad ISACA più di 200 capitoli. ISACA VENICE Chapter ISACA VENICE Chapter è un'associazione non profit costituita in Venezia nel novembre 2011 da un gruppo di professionisti del Triveneto che operano nel settore della Gestione e del Controllo dei Sistemi Informativi. Riunisce coloro che nell'Italia del Nord Est svolgono attività di Governance, Auditing, Controllo e Security dei Sistemi Informativi promuovendo le competenze e le certificazioni professionali sviluppate da ISACA. L'associazione favorisce lo scambio di esperienze, promuove un processo di sensibilizzazione di tutti i livelli organizzativi aziendali alla necessità di stabilire adeguati criteri di controllo sia di affidabilità dell'organizzazione sia di sicurezza dei sistemi. Maggiori informazioni su www.isacavenice.org ISACA VENICE PER L’ATTIVITA’ SVOLTA NEL 2015 HA RICEVUTO I SEGUENTI RICONOSCIMENTI: honorable mention per il K. Wayne Snipes Best Chapter Award 2015 Communications Commendation. ISACA VENICE Chapter CF 90017300261 - P.IVA 04503890263 www.isacavenice.org [email protected] 8 Scheda di Iscrizione da inviare a [email protected] entro 25.11.2016 Il nuovo regolamento Europeo sulla Protezione dei Dati personali – Impatti aziendali DATI PERSONALI: Cognome: Nome: Indirizzo: Cap: Città: Città: Prov.: Telefono: Cell: E-mail: ID Associato: Pagamento: bonifico bancario intestato a ISACA VENICE Chapter Nella causale indicare il nominativo del partecipante. Coordinate bancarie, intestazione ISACA VENICE CHAPTER IBAN IT 4 3Y 03075 02200 CC8500615320 Banca Generali, piazza Cavour 5, 34132 - Trieste (TS) SWIFT Code: BGENIT2T GARANZIE E DIRITTI DELL’INTERESSATO in ottemperanza al D. Lgs. 196/03 "Codice in materia di protezione dei dati personali". I dati personali in possesso dell'Associazione sono direttamente da Lei forniti ovvero acquisiti altrimenti nel rispetto delle disposizioni legislative vigenti e potranno formare oggetto di trattamento per gli scopi amministrativi del presente corso. Titolare del trattamento è ISACA VENICE CHAPTER che è a disposizione per l’eventuale aggiornamento, rettifica, integrazione o cancellazione. Data Firma ISACA VENICE Chapter CF 90017300261 - P.IVA 04503890263 www.isacavenice.org [email protected] 9