Archivio dell'autore: sicurezzapratica

10 consigli pratici per una migliore registrazione delle violazioni dei dati

10 consigli pratici per una migliore registrazione delle violazioni dei dati
Sulla base dei risultati della ricerca, l’AP viene fornito con 10 suggerimenti pratici per una migliore registrazione delle violazioni dei dati:

Descrivere in modo chiaro e completo incidenti, conseguenze e misure correttive;
Fare una distinzione esplicita tra misure correttive e preventive. Registra sempre le misure correttive nel registro di violazione dei dati. Può essere utile includere queste misure nel ciclo plan-do-check / learn-act;
Evitare la frammentazione delle registrazioni; crea una registrazione ben organizzata che viene inserita allo stesso livello di dettaglio dei dettagli per ogni unità organizzativa. Considerare, ad esempio, rendere la registrazione trasparente a tutti i dipendenti in modo che possano consultare la panoramica della registrazione prima di registrare qualcosa da soli;
Registrare per caso se il responsabile della protezione dei dati (FG) è coinvolto e, in tal caso, in quale misura. Ogni organizzazione governativa ha un FG.
Registrare per caso se la violazione dei dati è stata segnalata all’AP e ai soggetti coinvolti e spiegare perché ciò è accaduto o meno;
Sii trasparente nei confronti delle persone interessate se c’è stata una violazione dei dati. Comunicare in modo efficace e tempestivo su questo. Conservare la prova di tale notifica e registrarla nella registrazione. 
Preparare un manuale o fornire formazione per i dipendenti che completano la registrazione della violazione dei dati. Questa istruzione può essere parte di una procedura di segnalazione documentata per l’obbligo di segnalazione di violazione dei dati.
Registrare quali altre organizzazioni sono state coinvolte in una violazione (ad esempio co-processori, processori o sub-processori). Ciò è utile se un’organizzazione stipula nuovi accordi con il processore con i relativi processori.
Valutare la classificazione delle violazioni dei dati in base alla natura, alle conseguenze e alle parti coinvolte e alle possibili misure;
Discutere regolarmente la registrazione della violazione dei dati al livello giusto all’interno dell’organizzazione come parte di un ciclo di pianificazione-controllo / apprendimento. In questo modo le organizzazioni possono imparare dagli errori. Il FG può svolgere un ruolo attivo in queste discussioni.

Fonte: Simone Chiarelli

GDPR: in Italia oltre 630 notifiche di data breach

Dall’inizio dell’applicabilità del GDPR, ci sono state in Italia solo 630 notifiche di data breach, mentre ne sono avvenute oltre 10.000 in Paesi come l’Olanda, la Germania e la Gran Bretagna; a livello di Stati membri dell’Unione europea si contano invece più di 59.000 notifiche di violazione dei dati personali (data breach) eseguite da quando il GDPR è entrato in vigore il 25 maggio 2018.

SOFTWARE ISPEZIONE GDPR – SIMULATORE ISPEZIONE GARANTE PRIVACY E GUARDIA DI FINANZA

Secondo il GDPR Data Breach survey pubblicato da DLA Piper, Paesi Bassi, Germania e Regno Unito hanno contato rispettivamente circa 15.400, 12.600 e 10.600 notifiche di data breach e i Paesi Bassi comandano ancora la classifica dei dati pro capite con 89,8 segnalazioni ogni 100.000 persone, seguiti da Irlanda e Danimarca.

Scarica il report DLA Piper GDPR data breach survey dal seguente link

DPO/Consulente privacy – Come acquisire nuovi incarichi professionali – parte 1

Le opportunità professionali per il ruolo di DPO / Consulente privacy, dopo il boom dell’anno scorso con l’entrata in vigore del Reg. Ue 2016/679, si sono progressivamente ridotte, determinando l’esigenza in molti professionisti, di definire una efficace strategia per acquisire nuovi incarichi professionali.

Attualmente il panorama professionale dei DPO/ Consulente privacy è costituito da numerosi professionisti, alcuni con molta esperienza in ambito privacy, esperienza sia legale che informatica, altri invece che propongono esclusivamente “approcci” sul basso costo.
In un contesto del genere è davvero difficile per un serio professionista approcciarsi al mercato degli incarichi professionali come DPO e alla consulenza privacy in genere.

Le prime domande che ti devi porre nel definire la strada corretta per acquisire nuovi incarichi come DPO / Consulente privacy sono le seguenti:
Cosa farai per farti conoscere come un valido DPO / Consulente privacy?
Come intendi differenziarti e far risaltare la tua proposta di consulenza come DPO  e privacy?
Chi sono i tuoi clienti target?
Cosa stanno cercando?
Quale sarà la tua proposta di valore che ti differenzierà dai concorrenti?

Il primo aspetto da considerare è come dimostrare le tue qualifiche e le tue competenze professionali.

A tale riguardo è consigliabile avere seguito un corso specifico per DPO (ad esempio il corso on line Esperto DPO, che ti fornisce anche software professionale per svolgere tale professione), con rilascio dell’attestato, o un corso specifico come consulente privacy (ad esempio il corso on line Esperto Privacy).

E’ consigliabile integrare tale corso con una formazione più specifica inerente gli Audit Privacy (ad esempio il corso on line Esperto Audit Privacy) , attività che ogni 6 mesi deve essere svolta in ogni azienda, per evidenziare eventuali criticità privacy sanzionabili.

Ma non è sufficiente. Il potenziale cliente deve essere rassicurato sul fatto che stai svolgendo un programma continuo di aggiornamento professionale, in modo tale da potere garantire all’azienda una puntuale ed efficace competenza in ambito privacy / GDPR.
E’ quindi consigliabile utilizzare il servizio www.clubdpo.com, che assicura tale aggiornamento continuo.

Quindi, una delle tue prime preoccupazioni dovrebbe essere quella di certificare, sostenere e rafforzare le qualifiche indicate nel curriculum.

Un’altra strategia per dimostrare le proprie qualifiche professionali, è quella di creare un blog sulla privacy e pubblicare i contenuti sui gruppi specifici di LinkedIn e Facebook, nonchè parteciparvi attivamente rispondendo alle domande dei vari utenti.

E’ utile creare un proprio canale Youtube dove postare brevi video blog contenenti consigli operativi.

Altresì la partecipazione a conferenze e seminari svilupperà la tua rete professionale e rafforzerà la tua reputazione di esperto.

La tecnica di marketing più potente per un consulente è quella di pubblicare un articolo in una rivista (quotidiano o periodico), oppure pubblicare un libro e distribuirlo ad esempio in rete su Kindle o su altri network specializzati.

Autore: Dr. Matteo Rapparini – Seguimi su Linkedin
CEO Edirama – http://www.edirama.org

Come scrivere correttamente la #procedura gestione #data #breach: un esempio concreto

La procedura di gestione data breach è un elemento fondamentale della documentazione privacy secondo il Reg. Ue 2016/679. Si tratta di un elemento portante del sistema GDPR aziendale.
Vediamo come deve essere correttamente strutturata questa procedura, fornendoti un esempio concreto che puoi scaricare dal seguente link:
Accedi a www.clubdpo.com

Novità dal Garante Privacy

E’ stata pubblicata la newsletter n° 450

• Lavoro: no a invio massivo di dati degli infermieri a Ordine professionale
• Dati dei defunti: in Italia continuano a essere tutelati
• Privacy: no all’accesso civico generalizzato su pratiche SCIA e CILA
• Privacy: le regole sul trasferimento di dati UK-UE in caso di “Hard Brexit”

Novità dal Garante Privacy

Il Garante Privacy ha pubblicato la newsletter 449 del 7/2/2019.

Da segnalare l’articolo

Consulenti del lavoro: quando sono responsabili del trattamento dei dati
Precisazioni del Garante privacy dopo il nuovo Regolamento UE


Il Garante per la privacy ha precisato il ruolo e le responsabilità dei consulenti del lavoro nel trattamento dei dati personali della clientela alla luce del nuovo Regolamento europeo, identificandoli come “responsabili del trattamento” quando trattano i dati dei dipendenti dei clienti in base all’incarico da questi ricevuto.

Rispondendo ai quesiti sottoposti dal Consiglio Nazionale dei consulenti del lavoro e da numerosi professionisti, il Garante ha infatti chiarito che il Regolamento (UE) 679/2016 si pone in linea di continuità con quanto già prefigurato dalla Direttiva 95/46/CE. Il Regolamento conferma, infatti, le definizioni di titolare e responsabile del trattamento, nelle quali il primo resta il soggetto che “determina le finalità e i mezzi del trattamento di dati personali” e il secondo colui che “tratta dati personali per conto del titolare del trattamento”.

E dunque i consulenti del lavoro sono “titolari” quando trattano, in piena autonomia e indipendenza, i dati dei propri dipendenti oppure dei propri clienti quando siano persone fisiche, come ad esempio i liberi professionisti determinando puntualmente le finalità e i mezzi del trattamento. Sono, viceversa, “responsabili” quando trattano i dati dei dipendenti dei loro clienti sulla base dell’incarico ricevuto, che contiene anche le istruzioni sui trattamenti da effettuare. E’ il caso, ad esempio, dei consulenti che curano per conto di datori di lavoro la predisposizione delle buste paga, le pratiche relative all’assunzione e al fine rapporto, o quelle previdenziali e assistenziali, trattando una pluralità di dati personali, anche sensibili, dei lavoratori.

Si tratta di informazioni raccolte e utilizzate dai datori di lavoro in base al contratto e a norme di legge e di regolamento (come quelle in materia di lavoro, previdenza e assistenza sociale), e che vengono gestite dai consulenti cui sono esternalizzati i servizi sulla base delle discipline di settore e delle regole deontologiche pertinenti. Ed è sul contratto di affidamento dell’incarico e di designazione a responsabile del trattamento da parte del cliente che si basa la legittimità dei trattamenti realizzati dal consulente.

Il Garante ha chiarito infine che ai consulenti, pur in qualità di “responsabili” del trattamento, viene riconosciuto un apprezzabile margine di autonomia e correlativa responsabilità anche con riguardo alla individuazione e predisposizione di idonee misure di sicurezza, sia tecniche che organizzative, a tutela dei dati personali trattati.