Capacitàdi individuare

criticitàe proporresoluzioni Formazione

teoricae pratica

Raggiungimentodegli obiettiviprefissati Rispetto

dei doveridi

riservatezza

Trasparenzacommercialee operativa

I servizi di BLS

- attività formativa- audit 190- implementazione procedure

Anticorruzione

- trasparenza- supporto al RPC

- la segnalazione - la valutazione

Whistleblowing

- brand reputation - rating di legalità

Servizi integrati

- audit- mappatura e censimento

Privacy

- policy e misure organizzative- formazione

- conformità a PCI DSS- gap analisys & IT audit- high level security consulting- it risk management- la mitigazione del rischio

Cyber security

- penetration test- security audit- security evaluation- vulnerability assessment

...per aiutarvi a creare le fondamenta della serenità...

Professionisti

specializzati

per

ogni settore

Massima integritàe trasparenzaverso i nostri clienti.Interventi calibratia secondadelle necessità

- attività formativa- audit 231- ausilio Odv- implementazione e aggiornamento del modello 231

Responsabilità amministrativa degli enti

- la redazione del modello 231 e dei documenti satelliti- reati ambientali- reati informatici &audit informatici- sicurezza sul lavoro

1p.

Rassegna Stampa

AntiCorruzioneL'Huffington Post - Blog: Un sistema tutto americano contro la corruzione....................................................

Cyber SecurityCOR.COM: Cybersecurity, violazioni in calo per il 45% delle aziende italiane...............................................

Computerworld Online: Sicurezza: le aziende italiane sono le più virtuose in area EMEA............................

PrivacyInside Marketing: Diritto all'oblio e protezione dei dati personali: passo avanti in Europa .............................

L'Huffington Post - Blog: Le sfide del regolamento UE e la dimensione internazionale della privacy del ....

2

4

6

7

9

Data:

27/10/16L'Huffington Post - BlogUn sistema tutto americano contro la corruzione

Argomento:AntiCorruzione 2p.

Un sistema tutto americano contro la corruzione

Un sistema tutto americano contro la corruzione Pubblicato: 26/10/2016 14:50 CEST Aggiornato: 26/10/2016 14:51 CEST AGF Condividi Tweet E-mail Commento In Italia in molti li chiamerebbero infami, corvi, spioni, soffia. Negli Stati Uniti li hanno soprannominati whistleblowers e li considerano eroi, ricompensandoli con una percentuale che va dal 15 al 30% di quanto fanno recuperare allo Stato con le loro denunce di episodi corruttivi e frodi. Se ne è parlato a Roma all'interno del Festival della diplomazia (in corso fino al 28 ottobre). Gli Stati Uniti sono molto affezionati ai sistemi premiali in ambito giudiziario. Collaborare con la giustizia è una classica condizione win-win: provoca vantaggi di varia misura a chi decide di testimoniare e aiutare le indagini, ma anche a chi ha bisogno di prove per ottenere una condanna in tribunale. Nessuno sembra scandalizzarsi e molti dei risultati raggiunti nella lotta alla criminalità organizzata, nel perseguire i reati finanziari o nella lotta all'evasione fiscale sono riferibili ad accordi giudiziari o extra-giudiziari, spesso onerosi per lo Stato. Il programma ideato dalla Commodity Future Trading Commission (Cftc) è stato adottato nel 2010 con la legge Dodd-Frank, che regola lo scambio di valori mobiliari, e prevede ricompense in denaro a favore delle persone che volontariamente denunciano truffe o corruzioni per le quali, alla fine del procedimento legale si riescano ad applicare sanzioni superiori a un milione di dollari. Un approccio che fa discutere e che ha provocato un acceso dibattito al Centro studi americani di Roma, dove nel corso della VII edizione del Festival della Diplomazia, il Prof. Gustavo Piga, Direttore del Master in Anticorruzione dell'Università Tor Vergata di Roma, con il supporto dell'Ambasciata americana in Italia, ha invitato a parlarne tre riconosciuti esperti. Erika A. Kelton, è professoressa a Berkeley e una dei 500 avvocati più importanti d'America. Suo il primato per le ricompense più alte pagate in cambio di segnalazioni di illeciti in ambito sanitario. Tom Devine, negli ultimi vent'anni ha aiutato oltre 5mila collaboratori a difendersi dalle ritorsioni e Peter P. Budetti, soprannominato lo zar anti-frode, è un pediatra che Obama ha voluto come primo direttore del nuovo Center for program integrity. In sintesi, il programma whistleblower (letteralmente: soffiare nel fischietto per dare l'allarme) si rivolge anche a individui non americani che venuti a conoscenza di comportamenti illeciti a svantaggio di amministrazioni pubbliche ma anche di aziende private, decidono di fornire volontariamente informazioni originali agli inquirenti, che servano ad aprire una nuova inchiesta o riaprirne una precedentemente chiusa. Ma non pensate che basti una semplice lettera anonima. Per diventare un informatore con futuri diritti di ricompensa bisogna presentare un modulo (Form Tcr) per via elettronica, via fax o via mail. L'informatore può avere una carica all'interno della società, essere un dipendente, un insider, un operatore o un osservatore del mercato, un investitore o una vittima di una frode. Se la segnalazione dell'illecito è fatta contemporaneamente anche all'azienda dove si lavora, l'entità della ricompensa potrà essere più alta. In ogni caso la denuncia può essere presentata senza l'ausilio di un avvocato e può rimanere anonima, ma è necessario lo stesso comunicare un proprio contatto ed esistono alcuni limiti alla possibilità di tutelare l'identità dell'informatore. La materia è regolata da un rigido disciplinare e tutti i consigli e le istruzioni per presentare una denuncia corretta e ammissibile e la relativa domanda di ricompensa sono rintracciabili sul sito www.cftc.gov. Ovvero, anche nel campo delle delazioni ci sono criteri, ordinanze e procedure che non bisogna ignorare se non si vuole correre il rischio di vedere decadere il proprio diritto a intascare la dovuta percentuale che, dopo la sentenza definitiva, è pubblicata sulla pagina internet della Commissione e quindi diviene nota a tutti. E se dopo la denuncia passa del tempo e non si è ricontattati c'è anche un ufficio reclami. L'ammontare della ricompensa varia ed è legato all'importanza dell'informazione data, il grado di assistenza

Argomento: Editoriali / Opinioni 3pag.

fornito dall'informatore, il suo coinvolgimento o meno nelle funzioni aziendali di controllo. In cinque anni la Commissione ha pagato oltre 54 milioni di dollari, di cui ben 37 nel 2015. Se non si è d'accordo con il compenso ricevuto si può evidentemente fare ricorso presso la Corte federale entro trenta giorni. La legge prevede anche che il datore di lavoro non possa licenziare, punire, sospendere, vessare o discriminare, il dipendente che abbia legalmente trasmesso informazioni alla Commissione, che può intentare causa nel termine di due anni qualora ci fossero rappresaglie ingiustificate. Alle attività investigative anti-corruzione e anti-frode si aggiungono regolarmente campagne sociali che incoraggiano il whistleblowing, pubblicità a mezzo Tv e stampa, sui social media e on line. Le soffiate sono incoraggiate anche per violazioni alla normativa fiscale e l'Internal Revenue Service riceve ogni anno migliaia di richieste di ricompensa, che nel 2015 sono ammontate ad altri 100 milioni di dollari. A differenza della legge Dodd-Frank, però, una denuncia per frode fiscale non mette al riparo da ritorsioni contro il segnalante e forse è questo il motivo per cui nello stesso anno esse sono state solo 204, in calo del 20% rispetto all'anno precedente. Altro strumento legislativo vigente negli Usa è il False Claims Act, che prevede che chiunque presenti una richiesta falsa o fraudolenta al governo sia condannato al risarcimento del triplo dei danni subiti dal governo oltre le sanzioni. La stessa legge, nota come qui tam, da diritto a qualsiasi cittadino con l'aiuto di un avvocato di intentare un'azione legale per conto del governo federale contro l'autore della richiesta fraudolenta, anche senza che il denunciante ne sia stato danneggiato personalmente. La denuncia, con tutte le prove a sostenere le accuse mosse, e l'approfondita inchiesta che ne deriva restano segrete per almeno 60 giorni, con proroghe fino a due anni, dopo di che il dipartimento di giustizia avvisa il denunciante se intende partecipare all'azione legale o archiviare la causa qui tam. La crescente consapevolezza dell'esistenza di questi strumenti e programmi premiali ha portato a un considerevole aumento delle segnalazioni che sono considerate un diritto di libertà di parola e in quanto tale tutelato costituzionalmente. Nell'ottica del legislatore si tratta di un'azione integrativa, e non sostitutiva, del controllo interno esistente nelle aziende e nelle pubbliche amministrazioni. Se da un lato, infatti, si offrono incentivi a venire allo scoperto per le persone, interne o esterne, che siano a conoscenza d'informazioni su condotte illecite e corruttive, dall'altro lato s'incoraggia ad agire nel quadro del sistema interno di controllo. Sono pensabili misure simili nel campo della lotta alla corruzione in Italia? La nostra storia più recente, e soprattutto la complessità delle indagini e la durata dei processi fanno pensare che sarebbe molto rischioso scatenare una caccia al tesoro indiscriminata con denunce, più o meno anonime, che come primo risultato, nei casi più eclatanti, otterrebbero solo lo strillo sulle prime pagine dei giornali. In attesa di un giudizio definitivo e della relativa eventuale ricompensa per cui bisognerà attendere anni. • Segui gli aggiornamenti sulla nostra pagina Facebook

Data:

27/10/16COR.COMCybersecurity, violazioni in calo per il 45% delle aziende italiane

Argomento:Cyber Security 4p.

Cybersecurity, violazioni in calo per il 45% delle aziende italiane

HOME » DIGITAL » Cybersecurity, violazioni in calo per il 45% delle aziende italiane Cybersecurity, violazioni in calo per il 45% delle aziende italiane SICUREZZA IT Rapporto Coleman Parkes-Ca Technologies: il dato è il migliore dell'area Emea, grazie al mix di strategie predittive e proattive. In Italia oltre il 90% delle società giudica la sicurezza IT non solo un'arma di difesa, ma anche un fattore abilitante del business di Andrea Frollà Negli ultimi 12 mesi il 45% delle aziende italiane ha registrato una diminuzione delle violazioni di dati. È quanto emerge dal rapporto globale The Security Imperative: Driving Business Growth in the App Economy, elaborato da Coleman Parkes per CA Technologies, che per l’Italia fa segnare la percentuale più alta fra quelle di tutti i Paesi EMEA (Europe, Middle East and Africa). Il 67% delle organizzazioni italiane si avvale oggi di un approccio predittivo e/o proattivo per contrastare le violazioni e anche questo dato rappresenta una percentuale superiore a quella di qualsiasi altro Paese dell’area Emea. Tale approccio, spiega il report, “rappresenta un requisito indispensabile per realizzare una strategia di sicurezza informatica incentrata sull’identità digitale, che serve sia a proteggere che ad abilitare il business nell’odierno mondo multicanale e multipiattaforma dove il nuovo perimetro è rappresentato proprio dall’identità”. La maggior parte dei responsabili italiani intervistati è d’accordo nell’affermare che la sicurezza informatica non possa limitarsi a salvaguardare i dati e l’infrastruttura a supporto del business, ma debba anche servire a instaurare fiducia nella relazione tra aziende e clienti, elemento essenziale per guadagnare competitività ed espandere il giro d’affari nell’odierna application economy. L’88% ritiene che la sicurezza incentrata sull’identità sia cruciale per il business aziendale e il 91% (percentuale record in Emea) crede che la sicurezza debba essere al contempo proteggere e abilitare il business. Spicca anche l’importanza della tutela del marchio come importante leva competitiva e il fatto che la sicurezza non debba creare ostacoli o influire negativamente sull’esperienza dell’utente. Oltre il 60% dei soggetti intervistati utilizza indicatori quali customer experience, customer satisfaction e customer retention, crescita del fatturato e copertura digitale per misurare l’impatto della sicurezza sul business aziendale. “Questi dati dimostrano che la sicurezza incentrata sull’identità è una vera e propria killer application per la trasformazione digitale tra le aziende italiane intervistate - commenta Fabrizio Tittarelli, cto Italia di CA Technologies -. Oggi i clienti richiedono il massimo livello di protezione e si aspettano di vivere una customer experience priva di attriti. La sicurezza incentrata sull’identità digitale applica misure sistematiche di protezione ai diversi canali di interazione tra l’azienda e i suoi clienti, partner e dipendenti, consentendo di migliorare le modalità di protezione e supporto dell’operatività aziendale, e di stimolare allo stesso tempo la fiducia dei clienti e l’espansione del giro d’affari”. Secondo l’indagine, le organizzazioni italiane attribuirebbero la riduzione del numero di violazioni registrate negli ultimi dodici mesi ai maggiori investimenti in security (citati dal 50%), alla maggiore concentrazione delle procedure di sicurezza sulle aree a rischio elevato quali identità e accessi privilegiati (41%), e all’implementazione di nuove funzioni di security specifiche per mobile devices e apps (35%). Lo studio ha anche esaminato gli attuali assetti di sicurezza delle organizzazioni nell’area EMEA (Europe Middle East & Africa) in tre aree relative alla sicurezza incentrata sull’identità: esperienza degli utenti finali, gestione identità/accessi, violazioni di dati. Tali informazioni hanno consentito a CA e alla società di ricerca Coleman Parkes di realizzare un modello di maturità per la sicurezza incentrata sull’identità, classificando i soggetti intervistati a seconda del livello di utilizzo (avanzato, base o limitato). Nell’insieme, i risultati ottenuti in EMEA hanno portato a classificare la maggior parte dei partecipanti come utenti base (Basic) della sicurezza incentrata sull’identità (68%), con particolare attenzione verso alcune capacità essenziali quali la gestione delle password, il Single Sign-On e alcune funzioni di analisi e reportistica. Il 19% dei soggetti inclusi nel campione rientra nella categoria degli utenti avanzati (Advanced), in grado di svolgere attività quali la sicurezza adattiva e l’analisi comportamentale e di fornire supporto uniforme alla sicurezza multicanale. L’analisi ha inoltre rivelato che gli utenti EMEA di livello Advanced hanno realizzato miglioramenti significativi rispetto agli utenti Basic negli ambiti della customer experience, dell’operatività aziendale e della security:

Argomento: Cultura 5pag.

Lo studio evidenzia sette step cruciali nel percorso di adozione di una strategia di sicurezza incentrata sull’identità che possa contribuire a migliorare le performance di business e consentire una crescita aziendale: considerare l’identità digitale come nuovo perimetro aziendale, trattare la sicurezza come fattore abilitante del business, instaurare rapporti di fiducia nell’interazione digitale con clienti, partner, fornitori e dipendenti, tutelare le esperienze e non solo i dati, adottare un approccio adattivo per la gestione delle identità e degli accessi, agire in modo proattivo e predittivo e non rinunciare mai alla sicurezza in favore della velocità   ©RIPRODUZIONE RISERVATA 26 Ottobre 2016

Data:

27/10/16Computerworld OnlineSicurezza: le aziende italiane sono le più virtuose in area EMEA

Argomento:Cyber Security 6p.

Sicurezza: le aziende italiane sono le più virtuose in area EMEA

Il 45% delle aziende italiane intervistate nell’ambito di un nuovo studio mondiale ha registrato una diminuzione delle violazioni di dati subite negli ultimi 12 mesi. La percentuale è la più alta rilevata fra tutti i Paesi EMEA. La ricerca The Security Imperative: Driving Business Growth in the App Economy è stata svolta per conto di CA Technologies da Coleman Parkes su 1.770 responsabili aziendali, fra cui oltre 100 CSO e CISO, rivelando anche che il 67% delle aziende italiane si avvale di un approccio predittivo e/o proattivo per contrastare le violazioni (percentuale superiore a quella di qualsiasi altro Paese dell’area EMEA). La maggior parte dei responsabili italiani intervistati ai fini di questa indagine è d’accordo nell’affermare che la sicurezza informatica non possa limitarsi a salvaguardare i dati e l’infrastruttura a supporto del business, ma che debba anche servire a instaurare fiducia nella relazione tra aziende e clienti, elemento essenziale per guadagnare competitività ed espandere il giro d’affari nell’odierna application economy. L’88% dei responsabili italiani ritiene che la sicurezza incentrata sull’identità sia cruciale per il business aziendale, mentre secondo il 91% (percentuale record in EMEA) la sicurezza deve proteggere e nel contempo abilitare il business. Il 92% afferma che la sicurezza è un elemento cruciale per tutelare il marchio e che può fungere da importante leva competitiva, con l’85% (percentuale record in EMEA) convinto che la sicurezza non debba creare ostacoli o influire negativamente sull’esperienza dell’utente. la sicurezza deve anche servire a instaurare fiducia nella relazione tra aziende e clienti Oltre a limitare le violazioni dei dati, la sicurezza stimola la crescita fra le organizzazioni italiane. Il 76% del campione ha infatti realizzato un ampliamento della copertura digitale grazie a una migliore implementazione della sicurezza, mentre il 69% ha rilevato un miglioramento della customer experience e il 66% ha riferito di una maggiore fidelizzazione dei clienti. Le iniziative messe in campo nell’ambito della sicurezza informatica hanno inoltre contribuito a far aumentare del 35% i ricavi da nuove fonti di business, portando in più a un incremento del 31% nell’efficienza operativa, del 34% nella produttività dei dipendenti e del 33% nella customer satisfaction. Secondo l’indagine le organizzazioni italiane attribuirebbero la riduzione del numero di violazioni registrate negli ultimi dodici mesi ai maggiori investimenti in security (citati dal 50%), alla maggiore concentrazione delle procedure di sicurezza sulle aree a rischio elevato quali identità e accessi privilegiati (41%) e all’implementazione di nuove funzioni di security specifiche per mobile devices e apps (35%). Lo studio ha infine evidenziato sette step cruciali nel percorso di adozione di una strategia di sicurezza incentrata sull’identità. Considerare l’identità digitale come nuovo perimetro aziendale Trattare la sicurezza come fattore abilitante del business Instaurare rapporti di fiducia nell’interazione digitale con clienti, partner, fornitori e dipendenti Tutelare le esperienze, non solo i dati Adottare un approccio adattivo per la gestione delle identità e degli accessi Agire in modo proattivo e predittivo Non rinunciare mai alla sicurezza in favore della velocità

Data:

27/10/16Inside MarketingDiritto all'oblio e protezione dei dati personali: passo avanti in Europa

Argomento:Privacy 7p.

Diritto all'oblio e protezione dei dati personali: passo avanti in Europa

Diritto all’oblio e protezione dei dati personali: passo avanti in Europa Il problema del diritto all'oblio e del “data breach” alla luce del nuovo regolamento europeo in materia di protezione dei dati personali. diritto Politica e Istituzioni 26 ottobre, 2016 Macro Ambiente Marco Fiorillo Short Link Scarica Allegato Stampa Con l’avvento delle nuove tecnologie e la capillare diffusione di Internet, la tutela della riservatezza delle persone fisiche e giuridiche è stata duramente messa alla prova. Il web, infatti, non solo ha determinato un incremento esponenziale della velocità di circolazione e diffusione delle notizie, ma ha anche consentito la loro memorizzazione e catalogazione con un’efficienza assolutamente irraggiungibile con i sistemi di archiviazione cartacea. Ciò, se da un lato ha rappresentato un’indubbia miglioria per il diritto ad essere informati, pacificamente dotato di ancoraggio costituzionale ai sensi dell’art. 21 della Carta Fondamentale, per altro verso ha generato indubbie criticità. In primo luogo, infatti, si è posto il problema della qualità dell’informazione, giacché l’avere a disposizione un accesso più agevole alle notizie non necessariamente implica il miglioramento del livello di consapevolezza critica degli utenti: il problema dell’attendibilità delle fonti e della (in)capacità degli utenti di distinguere notizie vere da vere “bufale” rappresenta una delle più importanti questioni dell’epoca contemporanea. Sotto altro punto di vista, poi, la “memoria infinita” di Internet e più in generale l’utilizzo dei sistemi informatici per la conservazione dei dati pongono delicatissimi problemi per quel che attiene alla salvaguardia del diritto dell’individuo al rispetto della sua privacy. Il diritto alla riservatezza, sebbene non abbia un aggancio diretto nella nostra Costituzione, è stato ricavato per via interpretativa dall’art. 2 della Carta, giacché la Repubblica è tenuta a riconoscere (e a tutelare) i diritti fondamentali dell’individuo al fine di garantire il pieno sviluppo della personalità. Ebbene, non c’è dubbio che tale sviluppo transiti pure attraverso una efficace difesa del “diritto ad essere lasciati da soli”. Il rilievo primario della riservatezza, poi, ha trovato esplicito riconoscimento normativo nella Convenzione Europea dei Diritti dell’Uomo (CEDU) che, all’art. 8, sancisce come “ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza”. Gli strumenti di tutela esistenti e le novità più recenti Proprio al fine di garantire un miglior livello di tutela di tali interessi, il legislatore italiano già nel 2003 aveva adottato il Decreto Legislativo n. 196 denominato “Codice in materia di protezione dei dati personali” esplicitando il principio della imprescindibilità – salvo segnate eccezioni – del consenso del titolare dei dati personali per il loro trattamento da parte di terzi. La normativa, poi, ha previsto anche molteplici strumenti di tutela per il titolare (alcuni più efficaci, altri meno), nonché alcuni illeciti amministrativi e penali per le ipotesi di violazione delle prescrizioni e delle limitazioni imposte dalla legge ai soggetti a vario titolo coinvolti nel trattamento. Tuttavia, la necessità di innalzare il livello di tutela offerta e di prevedere delle norme minime comuni a tutti gli stati aderenti all’Unione ha indotto il legislatore comunitario ad avviare un articolato iter conclusosi il 16 maggio 2016 con l’adozione del Regolamento Europeo nr. 679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. Il testo normativo, che entrerà in vigore a partire dal 25 maggio 2018, contiene numerosi aspetti di sicuro rilievo, soprattutto per quel che attiene al diritto all’oblio e al cd. “data breach”. Il diritto all’oblio 2.0 Quello di diritto all’oblio è, in realtà, un concetto nient’affatto recente, giacché anche prima della diffusione del web si era posto il problema della riproposizione, sui media tradizionali, di notizie datate e che, dunque, avessero perso il connotato del pubblico interesse assumendo, al contrario, quello della speciosa persecuzione di un individuo mediante la anacronistica rievocazione di fatti su cui, invece, sarebbe stato opportuno che cadesse il velo della dimenticanza. Internet, tuttavia, ha determinato un significativo mutamento del diritto all’oblio: non viene più in rilievo la riproposizione di determinate notizie, bensì la loro più o meno agevole e più o meno immediata reperibilità in rete. Viene in rilievo, in altri termini, il problema della cosiddetta “indicizzazione” ad opera dei motori di ricerca e, quindi, il diritto all’oblio assume le vesti di un diritto alla “de-indicizzazione”.

Argomento: Economia / Finanza 8pag.

A riprova dell’importanza che “l’oblio 2.0” assume nel sistema d’informazione moderno, il nuovo regolamento comunitario per la prima volta lo positivizza (art. 17) con il chiaro intento di assicurare al soggetto “il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il proprio consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al presente regolamento. Tale diritto è in particolare rilevante se l'interessato ha prestato il proprio consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare tale tipo di dati personali, in particolare da internet” (considerando nr. 65). A parte il dato, pure di rilievo, della posizione autonoma riconosciuta al minore, l’aspetto veramente importante è che a questo diritto si accompagna l’obbligo per il titolare del trattamento che ha pubblicato i dati di comunicare la richiesta di cancellazione a chiunque li stia trattando, ovviamente nei limiti di quanto tecnicamente possibile. In altri termini, il sito web che ha pubblicato dati personali sarà tenuto ad informare i provider che trattano tali dati personali affinché questi provvedano a cancellare qualsiasi link verso tali dati personali o loro copie o riproduzione: viene cioè positivizzato il diritto alla “de-indicizzazione”. Un fenomeno sottovalutato: il data breach Un altro aspetto di sicura rilevanza, poi, attiene – come accennato – al cd. data breach, ovverosia alla diffusione o al pericolo di diffusione dei dati immagazzinati a seguito di attacchi hacker o comunque di malfunzionamento dei sistemi. In questa ipotesi, il titolare del trattamento non solo dovrà comunicare il data breach all’Autorita` nazionale di protezione dei dati ma, se essa rappresenta una minaccia per i diritti e le liberta` delle persone, dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative. Tuttavia, il titolare del trattamento potrà evitare tale incombenza se riterrà che la violazione non comporti un rischio elevato per i suoi diritti (quando non si tratti, ad esempio, di frode, furto di identità, danno di immagine, ecc.) o se – richiesto sul punto dal Garante – dimostrerà di avere adottato misure di sicurezza (come la cifratura) a tutela dei dati violati o, da ultimo, se la comunicazione dovesse comportare uno sforzo sproporzionato (ad esempio, se il numero delle persone coinvolte e` elevato). In quest’ipotesi, tuttavia, e` comunque imposto l’obbligo di una comunicazione pubblica o adatta a raggiungere quanti più interessati possibile (ad esempio, tramite un’inserzione su un quotidiano o una comunicazione sul sito web del titolare). L’Autorità di protezione dei dati (per l’Italia il Garante per la protezione dei dati personali) potrà comunque imporre al titolare del trattamento di informare gli interessati sulla base di una propria autonoma valutazione del rischio associato alla violazione. Va aggiunto che, trattandosi di un Regolamento, esso sarà direttamente applicabile e direttamente efficace negli Stati membri e dunque non occorreranno atti di recepimento o di adeguamento delle normative interne, così da realizzare senz’altro un passo in avanti nella tutela del diritto alla riservatezza. Per ulteriori informazioni sul regolamento comunitario predisposto dal Garante è possibile consultare la guida al nuovo regolamento europeo in materia di protezione dati. A firma di: Marco Fiorillo Contributor Inside Marketing &copy RIPRODUZIONE RISERVATA E' vietata la ripubblicazione integrale dei contenuti

Data:

27/10/16L'Huffington Post - BlogLe sfide del regolamento UE e la dimensione internazionale della privacy del 2016

Argomento:Privacy 9p.

Le sfide del regolamento UE e la dimensione internazionale della privacy del 2016

Le sfide del regolamento UE e la dimensione internazionale della privacy del 2016 Pubblicato: 25/10/2016 16:08 CEST Aggiornato: 25/10/2016 16:08 CEST agf Condividi Tweet E-mail Commento Nei dibattiti di questi giorni sul nuovo regolamento europeo sulla privacy, pubblicato nel maggio 2016, molti sono gli argomenti di discussione: a partire dall'iter che ha portato dalla Direttiva del 1995 al Regolamento del 2016; sino alla interazione tra il nuovo regolamento e la normativa vigente; e, per finire, quello che il regolamento non prevede ancora. Il regolamento è pensato per la società dell'informazione e della comunicazione di oggi: per i colossi multinazionali, titolari di un'infinità di dati, e per regolare il loro rapporto con l'interessato, consumatore/utente. Da un lato, dunque, i colossi, dall'altro le persone, collegati dal ponte della tecnologia. Le parole chiave: tecnologia, organizzazione e diritti. Ragionando su queste parole chiave alcuni temi si prestano a dibattiti particolarmente vivaci per le conseguenze a cui potranno condurre, o per la portata innovativa di alcune previsioni. Dalla parte delle imprese Tecnologia e organizzazione - Le parole chiave della gestione corretta della privacy sono tecnologia e organizzazione (e l'una non può fare a meno dell'altra). Dalla progettazione dei sistemi, alla loro realizzazione, al mantenimento efficiente, alla gestione giornaliera, alla gestione delle crisi: l'uso delle moderne tecnologie sta radicalmente cambiando l'approccio all'organizzazione interna e alle attività di promozione e gestione degli affari, occorre tenere conto della privacy in tutte le fasi. In quest'ottica è necessario trasformare la "cenerentola dei diritti" (per usare una felice espressione di Stefano Rodotà) in una principessa, facendola uscire dalle stanze dell'IT e consentendole di muoversi nel castello dell'impresa. Per far questo è necessaria una visione della privacy ampia e un approccio strategico di impresa, in cui i sistemi informatici sono solo una parte; le nuove figure professionali previste dal regolamento, Data Protection Officer e quant'altro, dovranno avere competenze ampie e la possibilità di dialogare con chi governa l'impresa. Sicurezza: un monitoraggio necessario - si sa che il famigerato "Documento Programmatico sulla Sicurezza" previsto dal Codice Privacy è andato in soffitta già da qualche anno. In effetti molte imprese hanno continuato ad aggiornarlo, dato che si tratta della maniera migliore per monitorare la gestione della privacy. Il "registro" previsto dal regolamento non ne è che una versione più aggiornata, nel necessario obiettivo di tracciare e garantire la sicurezza dei sistemi, essenziale per garantire il corretto trattamento dei dati. In caso di data breach, la segnalazione è d'obbligo, ma come può tutelarsi l'impresa rispetto ai danni che possono derivarne? L'ipotesi di sviluppo di polizze assicurative dedicate si è già affacciata e si vedrà dove porterà; c'è da chiedersi se non sarebbe utile prevedere l'obbligo per l'impresa di assicurarsi, dato l'impatto che una violazione dei dati e dei sistemi può avere. Quando adeguarsi e dove: una dimensione internazionale Dove - il regolamento si applica in tutta Europa e a tutti i cittadini europei: le imprese che hanno una dimensione internazionale (multinazionali e quant'altro) dovranno tenerne conto, così come dovranno tenerne conto le impese extracomunitarie che forniscono servizi ai cittadini europei. Novità interessanti: la cooperazione delle autorità garanti, il coordinamento di gruppo, la possibilità per l'interessato di scegliere la giurisdizione. Quando - Il regolamento è immediatamente efficace, dalla data di pubblicazione sulla Gazzetta Ufficiale, ma nello stesso tempo gli adempimenti e le nuove sanzioni saranno in vigore dal 2018. Sembra una buona scusa

Argomento: Editoriali / Opinioni 10pag.

per attendere: in realtà i diciotto mesi che restano sono il minimo necessario (saranno necessari tutti) per una progettazione seria di sistemi adeguati. Dalla parte della persona Il diritto al consenso e ad opporsi alla profilazione più garantiti - La necessità di prestare il consenso cambia aspetto e si modella alle molteplicità di internet, ad esempio con il diritto a opporsi alla profilazione. Un principio fondamentale quanto al momento privo di concretezza. Il diritto all'oblio -Inteso come diritto a opporsi al trattamento (anche da parte dei fornitori di servizi della società dell'informazione) era già garantito dalla direttiva del 1995; dopo la sentenza Costeja ha assunto una dimensione nuova; il Regolamento lo ha codificato. La portata (dirompente) della codificazione sta nel fatto che si rivolge espressamente alla esuberanza informativa di internet e nel fatto che vi è un obbligo di comunicazione agli altri titolari che trattano i medesimi dati. Nulla di nuovo, invece, circa il rapporto conflittuale tra i diritti dell'interessato e il diritto all'informazione, che può prevalere. Internet e minori. Sino a ora, quanto meno nel Codice privacy italiano, i minori erano stati considerati come soggetti deboli e in quanto tali da tutelare, per il loro essere oggetto di commento e nel rapporto con il diritto di cronaca, o comunque alla esposizione al pubblico di informazioni (dalla pubblicazione delle pagelle, alla gestione dei certificati medici di sana e robusta costituzione), o come vittime di pedopornografia o cyberbullismo. Il regolamento prevede per i minori il consenso dei genitori, là dove prima regnava il non detto, con l'introduzione di un riferimento a un'età - sedici anni, che possono essere portati a tredici - estranea alla normativa nazionale. Nell'offerta dei servizi della società dell'informazione il tema non è di poco conto, se si pensa a quanto nella pratica i minori siano destinatari di tali servizi (social network e prodotti innovativi) e a quanto gli stessi genitori possano essere i primi artefici della sovraesposizione dei propri figli alla tecnologia (dalla pubblicazione di foto sui social network all'adozione di sistemi di controllo a distanza) e se si pensa alle difficoltà di attuazione pratica. Quello che il regolamento non prevede E domani? La tecnologia evolve rapidamente ed è difficile pensare il futuro (specie per il legislatore). Ma già si parla dell'Internet Of Things e dell'impatto della tecnologia sui non-utenti. E il regolamento - se pur necessario - rischia di essere vecchio ancora prima di essere attuato. • Segui gli aggiornamenti sulla nostra pagina Facebook

BLS Compliance srlvia Alberico Albricci n°820122 Milanoinfo@bls.comwww.bls.srl