Workshop GRATUITO: Il nuovo regolamento privacy (GDPR) è in arrivo!

27 ottobre e 29 novembre 2017 ➔ 25 maggio 2018

Questo promemoria per ricordarvi che:

– il 25 maggio 2018 entrerà in vigore in tutta Europa il Regolamento Generale sulla protezione dei dati (GDPR);

– il 27 ottobre e il 29 novembre 2017 vi aiutiamo a conoscerlo per arrivare preparati.

“Chi ha tempo non aspetti tempo”

Studio Ankiros vi invita ad un workshop GRATUITO per conoscere, in maniera approfondita, tutti gli aspetti della protezione dati, grazie alla collaborazione con un professionista che vanta esperienza nel settore.

Il tavolo tecnico sarà ripetuto in due sessioni presso la sede di Studio Ankiros, Piazza T. Fraccon, 35, a Montecchio Maggiore nelle seguenti date:

– Venerdì 27/10, dalle 15.00 alle 17.00 (registrazione dalle 14.45)
– Mercoledì 29/11, dalle 15.00 alle 17.00 (registrazione dalle 14.45)

Il numero massimo di partecipanti sarà limitato a 6, con il vincolo di 1 partecipante per ciascuna azienda aderente.

Per iscriverti manda una mail a corsi@studioankiros.com, indicando:
Nome e cognome
Azienda di riferimento
Ruolo in azienda
Recapito telefonico
Sessione workshop di interesse

0

Il nuovo regolamento privacy (GDPR) è in arrivo. La tua Azienda è pronta?

Il 25 maggio 2018 entrerà in vigore in tutta Europa il Regolamento Generale sulla protezione dei dati (GDPR).

Cos’è?
Un insieme di disposizioni scritte allo scopo di armonizzare la protezione dei dati sensibili fra tutti gli stati membri dell’UE.

A chi interessa?
Imprese e pubbliche amministrazioni dentro e fuori Europa.

Cosa succede se non ci si adegua entro il 25 maggio 2018?
Si incorre in sanzioni pesanti, che in casi particolari potranno arrivare fino a 20 milioni di euro o al 4% del fatturato annuo.

È bene, quindi, non farsi trovare impreparati.

Come possiamo aiutarti?
Studio Ankiros ti invita ad un workshop GRATUITO per conoscere tutti gli aspetti della protezione dati, grazie alla collaborazione con un professionista che vanta esperienza nel settore.
Ti aiuteremo a capire:
– Come pianificare le attività per la compliance da oggi fino al 2018 con una roadmap adeguata;
– Quale Metodologia utilizzare per l’Analisi dei Trattamenti;
– Come impostare correttamente una Valutazione del Rischio e quali misure di sicurezza adottare;
– Quale documentazione predisporre per l’Accountability;
– Come predisporre un Sistema di Gestione della Privacy aziendale;
– Come gestire il principio del consenso informato.

Il tavolo tecnico di approfondimento GDPR sarà ripetuto in due sessioni presso la sede di Studio Ankiros, Piazza T. Fraccon, 35, a Montecchio Maggiore nelle seguenti date:

– Venerdì 27/10, dalle 15.00 alle 17.00 (registrazione dalle 14.45)
– Mercoledì 29/11, dalle 15.00 alle 17.00 (registrazione dalle 14.45)

Il numero massimo di partecipanti sarà limitato a 6, con il vincolo di 1 partecipante per ciascuna azienda aderente.

Per iscriverti manda una mail a corsi@studioankiros.com, indicando:
Nome e cognome
Azienda di riferimento
Ruolo in azienda
Recapito telefonico
Sessione workshop di interesse

0

DATA PROTECTION OFFICER: adeguarsi entro il 25 maggio 2018

Data Protection Officer (DPO): chi è costui?
È una figura professionale che dovrà essere nota, dal momento che il nuovo Regolamento UE n° 2016/679 per la protezione e libera circolazione dei dati personali, il cosiddetto GDPR, che entrerà in vigore dal 25 maggio 2018, la richiederà.

A dover ricorrere a questa figura professionale saranno quelle imprese, pubbliche o private, che svolgono trattamenti sui dati e che, per questo motivo, sono potenzialmente in grado di ledere gravemente i diritti degli interessati proprietari dei dati stessi.

Così prevede il GDPR, un insieme di disposizioni, che sono state scritte allo scopo di armonizzare la protezione dei dati sensibili fra tutti gli stati membri dell’UE, senza limitazione di applicazione al territorio europeo.

Pare, però, che questo soggetto sia ancora sconosciuto alla maggior parte delle aziende.
Alcuni studi hanno messo in evidenza, per esempio, come diverse organizzazioni attribuiscano la funzione di DPO al proprio IT manager, andando contro le indicazioni UE.
Quali le conseguenze?
Sanzioni pesanti e conflitto di interessi e incompatibilità fra ruoli.

Come va individuata, quindi, questa figura?
Gli elementi fondamentali che dovranno caratterizzare il DPO sono:
– posizione “super partes” rispetto all’area IT ed ai relativi processi decisionali in azienda,
– competenze giuridiche ed informatiche,
– capacità di realizzare una completa analisi dei rischi connessi al trattamento dei dati,
– capacità di valutare le interazioni con le altre aree aziendali (es. commerciale, amministrativa, ecc.), che hanno a che vedere, anche se indirettamente, con la sicurezza e la gestione delle informazioni.

Il 25 maggio 2018 sembra lontano, ma nove mesi potrebbero non bastare alle aziende per prepararsi nel modo giusto. Più del 50% delle imprese oggi sono in ritardo e potrebbero faticare a mettersi al passo con le nuove regole in arrivo.

Qualche altro numero?
Secondo un’indagine condotta da SailPoint, l’80% degli intervistati considera il nuovo GDPR prioritario per l’azienda, ma soltanto il 25% ha già fatto un piano per adeguarsi.

Il cuore del nuovo GDPR è l’obbligo di notificare la perdita di dati, in base al quale le imprese devono notificare il data-breach (Violazioni di dati personali) entro 72 ore dalla scoperta. Ciò significa che le imprese hanno soltanto tre giorni di tempo per individuare e definire la portata della “falla” nel loro sistema, e per capire se dati sensibili sono andati persi e in quale misura.

La mancata notifica del data-breach nei tempi stabiliti implica il rischio di multa salatissima, fino a 20 milioni di euro o al 4% del fatturato globale dell’azienda, indipendentemente dall’ammontare.

È per questo che le aziende dovranno prendere in considerazione seriamente il problema dei dati che raccolgono e del modo in cui li proteggono. Il principio base da seguire è semplice: “se non hai bisogno di un’informazione, non farne domanda e, per ragioni di sicurezza, non raccogliere informazioni inutili”.

Per molte imprese ciò vorrà dire affidarsi a partner esterni, specializzati in raccolta e trattamento dati, per evitare spiacevoli sorprese.
Il consiglio degli esperti rivolto alle aziende in cerca di Data Protection Officer è forte e chiaro: occorre informarsi subito, anche per poter eventualmente rimediare e rivalutare le scelte fatte fino ad oggi.

Fonti: Sole24Ore, Gianni Rusconi – 7 Aprile 2017, Paolo Anastasio, Key4biz.com – 25 maggio 2017 ed Emanuele Testolin, www.idataprotection.eu

0

CYBERTRUFFE, QUESTE SCONOSCIUTE

Professione? Cyber-criminale specializzato.
Sono sempre più “innovative” – passateci il termine – le tecniche utilizzate per danneggiare via rete le aziende. Dalle case farmaceutiche alle banche, alle imprese artigianali. Nessuno escluso.

Sono i dati riservati ed i brevetti, patrimonio intangibile e preziosissimo, ad essere i più attaccati, in una sorta di spionaggio online.

Come operano i cyber-criminali?
Infettano pc o smartphone, rubando le informazioni digitate dall’utente o, addirittura, l’identità di un fornitore abituale, arrivando ad ottenere ingenti somme di denaro attraverso i bonifici effettuati dall’ignaro interessato.

Elenchiamo una serie di tecniche di spionaggio:
spear phishing: e-mail che sembrano provenire da una persona o un’azienda conosciuta. In realtà provengono da hacker criminali che chiedono i dati della carta di credito e del conto corrente bancario, le password e le informazioni finanziarie presenti sul computer della vittima;
intercettazioni telefoniche;
backdoor: errori di programmazione lasciati intenzionalmente (spesso senza intenti malevoli) o non intenzionalmente (spesso per distrazione) dallo sviluppatore di siti web, e-commerce o programmi software aziendali, al fine di accedere ad aree riservate oltrepassando la normale autenticazione;
ransomware: tipo di malware che limita l’accesso al dispositivo che infetta, cripta le informazioni riservate, e chiede poi un riscatto da pagare per rimuovere la limitazione;
clonazione del sito web aziendale: il sito viene copiato completamente, al fine confondere l’utente ed indurlo ad usare le credenziali di accesso del sito originale, di fatto regalandole al criminale che ne può fare un uso immediato.

Gli attacchi sono ovunque e, per proteggersi, è necessario monitorare la situazione e difendersi.
In poche parole: giocare d’anticipo.
La maggior parte delle tecniche di spionaggio indicate sopra possono essere ridotte, o eliminate, applicando in azienda la “social engineering” con finalità “buone”, per aumentare la consapevolezza degli stessi utilizzatori della rete, mettendoli alla prova.
Il “social engineer” infatti, per definirsi tale, deve saper fingere, sapere ingannare gli altri, in poche parole saper mentire. Egli è molto bravo a nascondere la propria identità, fingendosi un’altra persona: in tal modo riesce a ricavare informazioni che non potrebbe mai ottenere con la sua identità reale.
Utilizzando opportune tecniche psicologiche di ingegneria sociale applicate (es. senso di colpa, situazioni che scatenano il panico, ignoranza, desiderio e avidità, ecc.) il “social engineer”, quindi, può aiutare la vittima ad evitare di essere attaccata.
È proprio il caso di dire: chi di spada ferisce, di spada perisce.

… E a proposito di cybertruffe… è di recente pubblicazione la notizia di un attacco hacker che ha paralizzato gli stabilimenti del Gruppo Maschio Gaspardo. Qui la notizia completa –> http://www.ilmessaggero.it/primopiano/cronaca/virus_informatico_maschio_gaspardo_casa_dipendenti-2532878.html

Per approfondimenti leggi l’intervista a Pierluigi Paganini, membro dell’Enisa (European Union Agency for Network and Information Security).
Fonte: Sole24ore, Alessandro Longo – 3 Aprile 2017
Fonte immagine: Freepik

0

10 cose da sapere per essere pronti al nuovo regolamento generale sulla protezione dei dati

Il GDPR (General Data Protection Regulation), ossia il regolamento con il quale la Commissione europea rafforza e unifica la protezione dei dati personali entro i confini dell’Unione Europea, sostituirà l’attuale direttiva comunitaria e sarà direttamente applicabile in tutti gli Stati membri dopo il 25 maggio 2018.

La nuova normativa contiene alcuni adempimenti complessi per i quali è necessario prepararsi adeguatamente. Vediamo insieme i passi da compiere per non farci cogliere impreparati dal nuovo regolamento sulla protezione dati:

1. Registro dei trattamenti

in questo documento dovranno essere indicati, nero su bianco, i dati scaturiti dai processi oggetto di trattamento,
– perché e come trattarli,
– chi sono i soggetti interessati,
– il periodo di conservazione,
– le modalità di custodia.

2. Data breach, che significa violazione della sicurezza aziendale. Anche su questo punto è necessario non farsi trovare impreparati, mettendo in pratica politiche preventive chiare e procedure efficaci per comunicare e reagire in tempo di fronte ad una violazione dei dati.

3. Accountability: ovvero rendicontazione e monitoraggio delle procedure di trattamento dei dati per ridurre al minimo il trattamento e la conservazione dei dati, ed una definizione delle misure di salvaguardia degli stessi.

4. Privacy by design:
Assicurarsi, sin da subito, che il rispetto della privacy sia insito in qualsiasi nuovo processo implementato o prodotto/servizio distribuito sul mercato, trasformando  la semplice conformità normativa in vantaggio competitivo per l’azienda.

5. Rispetto dei principi fondamentali:
Non dimenticarsi di studiare le basi giuridiche per cui si utilizzano i dati personali e capire se l’ottenimento del consenso del loro trattamento sia necessario o meno.

6. Comunicazioni formali: comunicare le informazioni e le politiche sulla privacy in modo chiaro, accessibile, semplice.

7. Diritti degli interessati (data subjects):
ricordare quali sono i diritti delle persone interessate, per essere pronti di fronte a specifiche richieste sull’esercizio dei loro diritti (es. diritto alla cancellazione).

8. Ruolo del DPO:
È necessario nominare la figura del Data Protection Officer se si verifica almeno una delle tre situazioni qui elencate:
– il trattamento è effettuato da un ente pubblico;
– le operazioni di trattamento richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
– il core business del Titolare o del Responsabile consiste nel trattamento su larga scala di particolari categorie di dati personali o giudiziari.

9. Responsabili del trattamento:
entità (persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati personali per conto del titolare del trattamento) che danno garanzie di implementare appropriate misure per assicurare la compliance GDPR.

10. Data transfer:
Per i trasferimenti di dati transfrontalieri, internazionali, infragruppo è importante assicurarsi di avere una base legittima per il trasferimento di dati personali a giurisdizioni che non abbiano un’adeguata regolamentazione sulla protezione dei dati.
Fonte utile: data Protection management – dott. Emanuele Testolin – gennaio 2017 – ©riproduzione riservata
Fonte immagine: <a href=”http://www.freepik.com/free-photos-vectors/tecnologia”>Tecnologia vecttori created by Makyzz – Freepik.com</a>

0