ARMANDO ROMANIELLODIRETTORE MARKETING, INDUSTRY MANAGEMENT

E CERTIFICAZIONE DI PRODOTTO | CERTIQUALITY

PROTEZIONE DEI DATI:QUALE RUOLO PER LA CERTIFICAZIONE?

Certiquality è

Carico…18000 GIORNATE DI AUDIT

Data integrityCybersecurity

Data protection e Privacy

Temi che in molti casi possono essere intercorrelati

SICUREZZA DELLEINFORMAZIONI

Carico…

Parliamo di certificazione: il regolamento la prevede espressamente

Parleremo di Standard perchè gli standard «muovono il mondo»

il Regolamento (UE) 2016/679 riguarda il trattamento e la libera circolazione dei dati personali

PREMESSA

… un esempio di uno STANDARD ISO che ha «mosso» veramente il mondo

Fonte:Gerundino,ISO

Fonte:Gerundino,ISO

Impatto assolutamente significativo in termini di crescita del business

Nel caso dell’introduzione dei container si calcola ci sia stato98,5% di riduzione dei giorni uomo necessari per il carico/scarico delle navi

VEDIAMO ORA COME:- LA NORMAZIONE VOLONTARIA (GLI STANDARD)- L’ACCREDITAMENTO- E LA CERTIFICAZIONE … ENTRANO NEL REGOLAMENTO

Analogamente, ora ci viene richiesta una «privacy by design» che tenga conto dei vincoli di privacy e data protectionfin dalla progettazione del processo aziendale e degliapplicativi informatici di supporto. Questo nuovo processo: un’occasione di chiarimento e semplificazione di flussi esistenti

Articolo 40 - Codici di condotta

➢ Gli Stati membri incoraggiano l'elaborazione di codici di condotta.

➢ Le associazioni rappresentanti le categorie di titolari del trattamento possono elaborare i codici di condotta

Articolo 41 - Monitoraggio dei codici approvati

➢ Il monitoraggio può essere effettuato da un organismo competente, indipendente ed accreditato

Articolo 42 - Certificazione

1. Gli Stati membri incoraggianol'istituzione di meccanismi dicertificazione della protezione dei dati

3. La certificazione è volontaria eaccessibile tramite una proceduratrasparente.

5. La certificazione ai sensi del presentearticolo è rilasciata dagli organismi dicertificazione di cui all'articolo 43 o dall'autorità di controllo competentein base ai criteri approvati da tale autoritàdi controllo competente…..

Carico…

Articolo 43 – Organismi di certificazione

➢ Gli Stati membri garantiscono che

tali organismi di certificazione siano accreditati da uno o entrambi dei seguenti organismi:

a) dall'autorità di controllo competente ai sensi degli articoli 55 o 56;

b) dall'organismo nazionale di accreditamento

➢ Gli organismi di certificazione sono responsabili della corretta valutazione etrasmettono

all'autorità di controllo competente i motivi del rilascio o della revoca

della certificazione richiesta.

Articolo 83 - Condizioni generali per infliggere sanzioni amministrative pecuniarie

Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare

della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:

natura, gravità, durata della violazione, oggetto o finalità del trattamento, numero di interessati lesi dal danno

e livello di danno subito, …….…..

…. l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione

approvati ai sensi dell'articolo 42

D.LGS. 231/01 – PER IL PESANTE SISTEMA SANZIONATORIO

D.LGS. 81/08 PER LA VASTA PORTATA DEI SOGGETTI INTERESSATI

MECCANISMI ESIMENTI

QUALCHEANALOGIA

ISO 27001:2013 - Information security management systems - Requirements

• Applicabile a realtà di ogni dimensione

• Quasi 20 anni di esistenza sul mercato

• Ambito definibile a piacimento

• Approccio ciclico (PDCA)

• Costituisce un framework completo

• Dice cosa fare, non come farlo

• Rivolto al miglioramento continuo

• È un riferimento universale e certificabile

• A disposizione la suite della famiglia 27000

STANDARDESISTENTI

ISO 27001:2013 ISMS Control Point and Control Objective Summary A5 Information security policies 2A6 Organization of information security 7A7 Human resource security 6A8 Asset management 10A9 Access control 13A10 Cryptography 2A11 Physical and environmental security 15

A12 Operations security 14

A13 Communications security 7A14 System acquisition, development and maintenance 13A15 Supplier relationships 5A16 Information security incident management 7A17 Information security aspects of business continuity management 4A18 Compliance 8

STANDARDESISTENTI

Sostituisce la versione del 2009

Many of these changes are as a result of the GDPR requirements.

Implementing BS 10012 will support many organisations in theirimplementation of an appropriate “Information Governance” strategy. Itwill also help in protecting the organisation from the fear of significant fines andreputational damage following GDPR non-compliance, as well as helping toreduce the ‘actual’ cost of recovery following privacy breaches.

This standard defines the rules for the implementation of a Personal InformationManagement System compliant with the GDPR and the organization could beimplement an integrated management system between standards (first of allISO/IEC 27001:2013 and ISO 9001:2015). The BS 10012:2017 “Specificationfor a personal information management system” is a specification standard andan organization could be certified to this standard.

STANDARDESISTENTI BS 10012:2017 - Data protection - Specification for a personalinformation management system

ISO/IEC AWI 27552 Information technology -- Security techniques -- Enhancement to ISO/IEC27001 for privacy management -- Requirements

Descrizione: Sistema di Gestione per la protezione dei dati personali, basata sui controlli ISO27001 Data di Pubblicazione: 2018

È ora in fase di pubblicazione la norma internazionale ISO/IEC 29134 dal titolo “Privacy ImpactAssessment – Methodology”

Nel prossimo futuro (indicativamente a fine 2017) sarà pubblicata la norma ISO/IEC 29151 daltitolo “Code of practice for personally identifiable information protection”.

STANDARD INLAVORAZIONE

Il Regolamento prevede, all’art. 37, l’obbligo di nomina del Data Protection Officer (Responsabile della Protezione dei dati) nei seguenti casi:

- Pubbliche Amministrazioni

- Trattamento di dati particolari (ex sensibili) e giudiziari su la larga scala da parte di Titolari oResponsabili del trattamento quali loro attività principale (es. Sanità| Selezione del personale ecc.)

- Trattamenti che richiedono un monitoraggio sistematico e su larga scala sugli interessati da partedi Titolari o Responsabili del trattamento quali loro attività principale (es. profilazione on line).

CERTIFICAZIONE DELLE PERSONE (dellecompetenze)

La Certificazione delle Competenze è unvalido strumento per i Professionisti cheintendono attestare possesso dei requisitiprofessionali necessari e sufficienti peroperare in un determinato settore diattività.

La Certificazione delle Competenzerispetta le fondamentali caratteristiche di:

- Indipendenza

- Trasparenza

- Imparzialità

CERTIFICAZIONE DELLEPERSONE(delle competenze)

PER IMPLEMENTARE IL SISTEMA DI GESTIONE, LE PROCEDURE, LAFORMAZIONE, ETC.

PER LA CERTIFICAZIONE

COSTI

Today’s challenges require broad supply-chainalignment around the world, This alignment isthe only sensible way to make any progress. Intoday’s interconnected ecosystem, standardscan enable new growth and innovation forchallenges that are too large for any companyto solve by itself. Steven Schulz, President and CEO, Si2

““

Siamo di fronte a sfide estremamente complesse per le singole aziende

L’operare senza regoleè il più faticoso e difficilemestiere di questo mondo

(Alessandro Manzoni, Storia della colonna infame, 1840)

“ “

Ing. Armando RomanielloDirettore Marketing, Industry Managemente Certificazione di Prodotto a.romaniello@certiquality.it335 1689053

www.certiquality.it