Archivio per categoria: Corporate e Governance, Risk & Compliance

Sicurezza reti e sistemi informativi: nuove regole per cooperazione e gestione del rischio, 28.05.2018

Cresce l’attenzione del legislatore per la sicurezza delle reti e dei sistemi informativi: il Consiglio dei ministri ha approvato in esame definitivo un decreto che recepisce la disciplina dettata dall’UE per la gestione del rischio e l’implementazione della cyber security.
Si rinvia all’articolo allegato l’approfondimento sul tema.
Buona lettura

DPO: Ruolo chiave per la privacy 4.0, 24.05.2018

Entro il 25 maggio 2018 i titolari del trattamento che svolgono già operazioni di trattamento dei dati personali devono procedere alla nomina del responsabile della protezione dei dati (DPO) e comunicarne le generalità al Garante privacy. Il Data Protection Officer è tenuto ad informare e a consigliare il titolare del trattamento, sorvegliare l’esatta osservanza del regolamento, fornire pareri con riguardo alla valutazione di impatto per la privacy. Un ruolo decisamente strategico nella compagine aziendale. Pertanto, è consigliabile valutare con estrema attenzione la scelta del soggetto da nominare: come è consigliabile muoversi?
Si rinvia all’articolo allegato l’approfondimento sul tema.
Buona lettura

Attiva la procedura per comunicare i dati di contatto del RPD, 22.05.2018

Il Garante per la protezione dei dati personali, con un comunicato del 18 maggio, ha reso nota l’attivazione della procedura per la comunicazione dei dati di contatto del Responsabile della protezione dei dati (RPD o DPO – Data Protection Officer), così come disposto ai sensi dell’art. 37, par. 7 del nuovo Regolamento 679/2016 (GDPR). Il comunicato segue quello di pochi giorni fa, con il quale il Garante aveva reso disponibile un facsimile per tale adempimento, con scopo, però, solo dimostrativo, essendo finalizzato a consentire una verifica preliminare delle informazioni richieste nell’ambito della suddetta procedura.
Si rinvia all’articolo allegato l’approfondimento sul tema.
Buona lettura

Cyber security in azienda: direttiva NIS e GDPR, l’utilità di un sistema unico di monitoraggio, 21.05.2018

Assicurare la continuità dei servizi essenziali (come ad esempio energia, trasporti, salute e finanza) e digitali (motori di ricerca, servizi cloud, piattaforme e-commerce) attraverso l’adozione di misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi a sicurezza della rete e dei sistemi informativi utilizzati dalle aziende. È questa la finalità dello schema di decreto legislativo che attua in Italia la Direttiva NIS sulla sicurezza delle reti e dei sistemi informativi. Si rinvia all’articolo allegato l’approfondimento sul tema.
Buona lettura

GDPR e normativa nazionale: la bozza di decreto rivoluziona il regime sanzionatorio, 17.05.2018

Prosegue l’iter normativo per l’armonizzazione dell’ordinamento interno alle norme europee del GDPR. Ad una prima bozza di decreto, approvata in esame preliminare dal Consiglio dei Ministri e che abrogava per intero il Codice della privacy, se ne è sostituita una seconda dal contenuto diametralmente opposto, che conserva il vecchio codice, modificandolo e prevedendo sanzioni amministrative di importi sproporzionati e incompatibili con i livelli di garanzia. Proposte anche nuove ipotesi di reato, in particolare, nel settore delle comunicazioni elettroniche.
Cosa prevede nel dettaglio la nuova bozza di decreto, che dovrà essere approvata ad uno dei prossimi Consigli dei Ministri?
Si rinvia all’articolo allegato l’approfondimento sul tema.
Buona lettura

Multinazionali e GDPR: gestire i data breach a livello transnazionale, 14.05.2018

L’impatto di un data breach, come la perdita di interi database, assume una rilevanza transnazionale quando ad essere colpiti sono le multinazionali. Per affrontare le violazioni di questo tipo, in modo adeguato e tempestivo, e per evitare danni materiali o immateriali alle persone fisiche, il GDPR prevede una specifica disciplina con l’obiettivo di evitare che l’evento dannoso sia tenuto nascosto, ad esempio, dai vertici aziendali. Si rinvia all’articolo allegato l’approfondimento sul tema.
Buona lettura

Multinazionali e GDPR: attenzione a gestire il trasferimento dei dati all’estero, 10.05.2018

In nome di una reale ed effettiva tutela degli interessati, il GDPR prevede che i dati possono essere trasferiti solo verso Paesi terzi che garantiscano un livello di sicurezza equivalente a quello previsto nell’Unione europea. In particolare, alle multinazionali viene richiesto di prevedere delle norme vincolanti per le imprese, autorizzate da un’autorità di controllo, per i trasferimenti internazionali dall’Unione agli organismi del gruppo, che contemplino i principi fondamentali di tutela della privacy e le opportune garanzie per il trasferimento di dati personali. Quali sono le clausole vincolanti?. Si rinvia all’articolo allegato l’approfondimento sul tema.
Buona lettura

Privacy 4.0: dati personali, 07.05.2018

I dati personali sono suddivisi in categorie a seconda del tipo di trattamento che va applicato. Dall’analisi del Codice Privacy e del GDPR emerge che alcune tipologie di dati non sono specificatamente identificate nel Regolamento UE 2016/679, come i dati sensibili e giudiziari. Viceversa, i dati che non costituiscono una categoria definita nel Codice Privacy, ad esempio i dati genetici, lo diventano nel GDPR. Si rinvia all’articolo allegato l’approfondimento sul tema.
Buona lettura

Il controllo massimo dell' e-mail aziendale del lavoratore viola la privacy , 04.05.18

La conservazione massiva da parte del datore di lavoro delle email inviate attraverso gli account di posta elettronica aziendale è stata dichiarata illecita da parte del Garante della privacy, che si è nuovamente pronunciato sul tema con il provvedimento n. 53/2018. Si rinvia all’articolo allegato l’approfondimento sul tema.
Buona lettura
 

GDPR: Valutazione d'impatto, 30.04.18

La valutazione d’impatto è una nuova procedura introdotta dal GDPR che permette al titolare del trattamento di valutare la necessità, la proporzionalità ed i rischi del trattamento di alcune tipologie di dati, così da approntare misure idonee di sicurezza. La norma prevede casi specifici in cui la valutazione è obbligatoria. Si rinvia all’articolo allegato l’approfondimento sul tema.
Buona lettura