GDPR. Privacy Risk Management.
()
About this ebook
Related to GDPR. Privacy Risk Management.
Related ebooks
Sicurezza delle informazioni - Edizione 2022: Gestione del rischio - I sistemi di gestione - La ISO/IEC 27001:2022 - I controlli della ISO/IEC 27002:2022 Rating: 0 out of 5 stars0 ratingsLa Sicurezza Informatica. Tra informatica, matematica e diritto Rating: 0 out of 5 stars0 ratingsISO27001/ISO27002: Guida tascabile Rating: 0 out of 5 stars0 ratingsRisk Management – La norma ISO 31000:2018 - La metodologia per applicare efficacemente il risk management in tutti i contesti Rating: 0 out of 5 stars0 ratingsI nove passi per il successo: Compendio per l’attuazione della norma ISO 27001:2013 Rating: 0 out of 5 stars0 ratingsVulnerability assessment Rating: 0 out of 5 stars0 ratingsPensiero basato sul rischio. Risk-based thinking Rating: 0 out of 5 stars0 ratingsUn piccolo libro sulla privacy, il GDPR e come attuarlo Rating: 0 out of 5 stars0 ratingsIl Data mining e gli algoritmi di classificazione Rating: 1 out of 5 stars1/5La nuova ISO 9001: 2015 Quali sono le novità introdotte? Rating: 3 out of 5 stars3/5Sicurezza Informatica: Elenco Letterario in Lingua Inglese: Libri & Articoli, Documenti Internet Rating: 0 out of 5 stars0 ratingsdig.ital r.evolution. 5 lezioni per la riqualificazione delle imprese italiane Rating: 0 out of 5 stars0 ratingsMetaverso: La Guida Pratica: Manuale di sopravvivenza giuridica al Web 3.0 Rating: 0 out of 5 stars0 ratingsIl Metodo MakeITlean®: dal Lean Thinking all'Inbound Marketing: Il sistema più efficace per far decollare il tuo business Rating: 0 out of 5 stars0 ratingsAI CyberSecurity e AI-powered Cyber Attack Rating: 0 out of 5 stars0 ratingsL'evoluzione della qualità. Il Total Quality Management (TQM) Rating: 0 out of 5 stars0 ratingsSmart Car CyberSecurity: Il Cyber Risk delle Auto Intelligenti Rating: 0 out of 5 stars0 ratingsL'Intelligenza Artificiale al servizio della Sicurezza Informatica. Un approccio dinamico Rating: 0 out of 5 stars0 ratingsBlockchain & agrifood Rating: 0 out of 5 stars0 ratingsESAME AVVOCATO 2017. Tecniche di redazione Atti e Pareri alla luce dei criteri di correzione dei Commissari – 2a Edizione Rating: 0 out of 5 stars0 ratingsLa sicurezza sul lavoro tra figure sintomatiche e valutazione dei rischi Rating: 0 out of 5 stars0 ratingsMappatura del flusso di valore: Ridurre gli sprechi e massimizzare l'efficienza Rating: 0 out of 5 stars0 ratingsMobbing e il danno alla persona Rating: 0 out of 5 stars0 ratingsQuestioni ereditarie. Guida al Diritto delle Successioni Rating: 0 out of 5 stars0 ratingsCreare un blog di successo Rating: 0 out of 5 stars0 ratingsLa Guida Definitiva Per Sviluppatori Di Software: CONSIGLI E TRUCCHI Rating: 0 out of 5 stars0 ratings
Law For You
Cryptotrading Pro: Fai Trading Per Guadagnare Con Strategie, Strumenti E Tecniche Di Gestione Del Rischio Rating: 0 out of 5 stars0 ratingsPreparazione al Concorso per Istruttore Amministrativo Rating: 0 out of 5 stars0 ratingsProntuario di diritto penale Rating: 0 out of 5 stars0 ratingsSerial Killer, omicidi seriali: rilievi investigativi e quadri psichiatrico-forensi Rating: 0 out of 5 stars0 ratingsInterpretazione della legge con modelli matematici. Processo, a.d.r., giustizia predittiva Rating: 0 out of 5 stars0 ratingsDiritto del lavoro: Sintesi ragionata di Diritto del lavoro per concorsi pubblici e esami universitari Rating: 0 out of 5 stars0 ratingsCodice della nautica da diporto Rating: 0 out of 5 stars0 ratingsSpirali di Energia - L'antica arte della Selfica: L'antica arte della Selfica Rating: 0 out of 5 stars0 ratingsCapire il Diritto Privato: Attraverso mappe concettuali e schemi Rating: 0 out of 5 stars0 ratingsCompendio di ISTITUZIONI DI DIRITTO ROMANO Rating: 0 out of 5 stars0 ratingsProntuario di diritto romano Rating: 0 out of 5 stars0 ratingsTest per i concorsi nell’Unione europea – Teoria e quiz: Guida alle procedure di selezione EPSO Rating: 0 out of 5 stars0 ratingsTecniche e Metodologia della scrittura giuridica Rating: 0 out of 5 stars0 ratingsProntuario sulla tutela del credito: Guida al recupero dei crediti Rating: 0 out of 5 stars0 ratingsEconomia aziendale. Quesiti a risposta multipla: Test a risposta multipla per concorsi e esami universitari Rating: 0 out of 5 stars0 ratingsL'uomo delinquente Rating: 5 out of 5 stars5/5CriptoArte: Mercato dei NFT Tecnologia Regole Rischi Rating: 0 out of 5 stars0 ratingsLinee sincroniche: Gli scorrimenti energetici del pianeta Rating: 5 out of 5 stars5/5Guida pratica agli NFT: Arte e Diritto al tempo dei Non Fungible Token Rating: 0 out of 5 stars0 ratingsDiritto civile. Lezioni e mappe concettuali Rating: 0 out of 5 stars0 ratingsDatacrazia: Politica, cultura algoritmica e conflitti al tempo dei big data Rating: 0 out of 5 stars0 ratingsFormulario del Processo Penale Rating: 0 out of 5 stars0 ratingsDiritto pubblico Rating: 0 out of 5 stars0 ratingsADHD e Scuola: Quaderni didattici-Percorsi per l'inclusione-5/2021 Rating: 0 out of 5 stars0 ratings
Reviews for GDPR. Privacy Risk Management.
0 ratings0 reviews
Book preview
GDPR. Privacy Risk Management. - Ioanis Tsiouras
file:///C:/Users/Utente/Documents/Libri/GDPR/9788831658096.epub
Indice
1 Introduzione
1.1 Guida all’uso del volume
1.2 Il valore del libro
2 Il quadro normativo
2.1 Le norme di riferimento
2.1.1 ISO/IEC 27001 e ISO/IEC 27002
2.1.2 ISO/IEC 29100
2.1.3 ISO/IEC 27701
2.2 Sicurezza delle informazioni e Privacy
2.3 Le norme per l’information security risk management e privacy impact assessment (PIA)
3 Il rischio
3.1 Il concetto del rischio
3.2 Un approccio ingegneristico
3.3 Gli elementi coinvolti nel rischio
3.4 Metodologie per l’analisi dei rischi
3.5 Risk-based Thinking
3.6 L’approccio per processi e il Risk-based Thinking
4 Privacy information governance
4.1 Il modello della Privacy Information Governance
4.2 I principi che guidano la privacy
4.2.1 Principi per la privacy
4.2.2 Privacy by design
4.2.3 Privacy by default
4.3 Framework per la privacy
4.4 Il processo di Privacy Risk Management
4.4.1 I riferimenti normativi
4.4.2 Impostazione del processo
5 Sviluppo del processo Privacy Risk Management
5.1 Il modello del processo
5.1.1 Requisiti normativi
5.1.2 Le fasi del processo
5.2 Stabilire il contesto dell’organizzazione
5.2.1 Considerazioni generali
5.2.1.1 Requisiti normativi
5.2.1.2 Attori e ruoli per la privacy
5.2.1.3 Costituzione del Gruppo Privacy Risk Management
5.2.1.4 Attività dell’analisi del contesto
5.2.2 Analisi del contesto esterno
5.2.3.1 Applicazione del modello Defence-in-Depth
5.2.3.1.1 Il dominio fisico organizzativo
5.2.3.1.1.1 Informazioni generali sull’azienda
5.2.3.1.1.2 Organigramma aziendale
5.2.3.1.1.3 Descrizione fisica della sede
5.2.3.1.2 Il dominio informatico
5.2.3.2 Determinazione e descrizione degli Scenari d’Uso e dei Processi
5.2.4 Analisi delle esigenze e delle aspettative degli stakeholder
5.2.5 Definizione del campo di applicazione del processo di Privacy Risk Management
5.2.6 Criteri per la gestione dei rischi
5.2.6.1 Requisiti normativi
5.2.6.2 Impostazione dei criteri
5.2.6.3 Criteri di valutazione degli Impatti (Imp)
5.2.6.4 Criteri di valutazione (stima) delle Probabilità (Pi)
5.2.6.4.1 Approccio 1: valutazione (stima) della Probabilità (Pi) dell’incidente
5.2.6.4.2 Approccio 2: valutazione (stima) della Probabilità (Pi) dell’incidente come combinazione delle Probabilità Pm e Pv
5.2.6.4.3 La scala per la stima delle Probabilità di una causa (minaccia Pm o vulnerabilità Pv) o di un incidente Pi
5.2.6.5 Criteri di valutazione dei rischi
5.3 Privacy Risk Assessment
5.3.1 Considerazioni generali
5.3.2 Identificazione dei rischi
5.3.2.1 Requisiti normativi
5.3.2.2 Dove ricercare i rischi?
5.3.2.3 Identificazione delle informazioni e dei dati personali
5.3.2.3.1 Categorie delle informazioni e dei dati personali
5.3.2.3.2 Tipologie di trattamento
5.3.2.4 Identificazione dei dati e delle risorse informative
5.3.2.5 Identificazione degli Impatti
5.3.2.5.1 Approccio per l’identificazione degli impatti sui dati personali
5.3.2.5.2 Requisiti del GDPR in riferimento a DPIA
5.3.2.5.2.1 Articolo 35, par. 3: valutazione d’impatto sulla protezione dei dati
5.3.2.5.2.2 Articolo 35, par. 4: Elenco delle tipologie di trattamenti soggetti a DPIA
5.3.2.5.3 Riferimenti a soggetti vulnerabili
5.3.2.6 Identificazione delle minacce
5.3.2.7 Identificazione delle vulnerabilità
5.3.2.8 Elenco dei potenziali incidenti
5.3.3 Analisi dei rischi (risk analysis)
5.3.3.1 Requisiti normativi
5.3.3.2 Attività dell’Analisi dei rischi
5.3.3.3 Valutazione (stima) degli Impatti (Imp)
5.3.3.4 Valutazione (stima) delle Probabilità (Pi) degli incidenti
5.3.4 Valutazione (ponderazione) dei rischi (risk evaluation)
5.3.4.1 Requisiti normativi
5.3.4.2 Attività di valutazione (ponderazione) dei rischi
5.3.4.3 Determinazione dei Rischi Parziali (Ri)
5.3.4.4 Calcolo del Rischio Aggregato (RAgg)
5.3.4.5 Mappa dei Rischi Parziali (Ri)
5.3.4.6 Priorità di trattamento dei Rischi Parziali (Ri)
5.4 Punto decisionale 1
5.5 Trattamento dei rischi
5.5.1 Requisiti normativi
5.5.2 Attività per il trattamento dei rischi
5.5.3 Le opzioni per il trattamento dei rischi
5.5.3.1 Modificare i rischi
5.5.3.2 Accettare i rischi
5.5.3.3 Evitare i rischi
5.5.3.4 Condividere o trasferire i rischi
5.5.4 Identificazione delle misure/controlli
5.5.4.1 Identificazione delle misure/controlli da implementare
5.5.4.2 Identificazione delle misure/controlli esistenti
5.5.4.3 Dichiarazione di Applicabilità (SoA)
5.5.5 Calcolo dei Rischi Residui (RR) e del Rischio Residuo Aggregato (RAgg)
5.5.6 Piano di Trattamento dei rischi
5.6 Punto decisionale 2
5.7 Accettazione dei Rischi Residui
5.8 Implementazione delle misure/controlli del Piano di Trattamento dei Rischi
5.9 Comunicazione e consultazione
5.10 Monitoraggio e riesame
6 Caso di studio: azienda Abc s.r.l.
6.1 Introduzione al caso di studio
6.2 Stabilire il contesto di ABC S.r.l.
6.2.1 Analisi del contesto esterno dell’azienda
6.2.2 Analisi del contesto interno dell’azienda
6.2.2.1 Il dominio fisico organizzativo
6.2.2.1.1 Informazioni generali sull’azienda
6.2.2.1.2 Descrizione fisica della sede
6.2.2.1.3 Organigramma di ABC S.r.l.
6.2.2.2 Il dominio informatico di ABC S.r.l.
6.2.2.3 Determinazione degli Scenari d’Uso e dei processi di ABC S.r.l.
6.2.2.4 Campo di applicazione del processo di Privacy Risk Management
6.2.2.5 Il processo di Elaborazione Paghe
6.2.2.6 Architettura della catena del servizio SaaS
6.2.2.7 Determinazione dello Scenario d’Uso e del Processo
6.2.3 Analisi delle esigenze e delle aspettative degli stakeholder
6.2.4 Criteri per la gestione dei rischi
6.3 Privacy Risk Assessment
6.3.1 Identificazione dei rischi
6.3.1.1 Identificazione dei dati personali
6.3.1.2 Identificazione degli asset
6.3.1.3 Identificazione degli impatti
6.3.1.4 Identificazione delle minacce, delle vulnerabilità e degli incidenti
6.3.1.4.1 Raccolta e archiviazione dei dati e interazione con il Browser Client
6.3.1.4.2 Interazione tra Browser Client e Web Server
6.3.1.4.3 Interazioni tra Web Server e SQL Database e viceversa
6.4 Analisi dei rischi (risk analysis)
6.4.1 Valutazione (stima) degli impatti (Imp)
6.4.1.1 Valutazione (stima) della perdita della Riservatezza
6.4.1.2 Valutazione (stima) della perdita dell’Integrità
6.4.1.3 Valutazione (stima) della perdita della Disponibilità
6.4.2 Valutazione (stima) delle Probabilità (Pi) degli incidenti
6.4.3 Valutazione (ponderazione) dei rischi (risk evaluation)
6.4.3.1 Determinazione dei Rischi Parziali (Ri)
6.4.3.2 Calcolo del Rischio Aggregato (RAgg)
6.4.3.3 Mappa dei Rischi Parziali (Ri)
6.4.3.4 Priorità di trattamento dei Rischi Parziali (Ri)
6.5 Punto decisionale 1
6.6 Trattamento dei rischi
6.6.1 Identificazione delle misure/controlli
6.6.1.1 Identificazione delle misure/controlli da implementare
6.6.1.2 Identificazione delle misure/controlli esistenti
6.6.1.3 Dichiarazione di Applicabilità (SoA)
6.6.2 Calcolo dei Rischi Residui (RR) e del Rischio Residuo Aggregato (RAgg)
6.6.3 Piano di Trattamento dei rischi
6.7 Punto decisionale 2
6.8 Accettazione dei Rischi Residui
6.9 Implementazione delle misure/controlli del Piano di Trattamento dei Rischi
7 Bibliografia
APPENDICE 1 - Scenari d’Incidenti: Vulnerabilità, Minacce E Incidenti
App1.1 Introduzione
App1.2 Tipologia di area: Organizzazione e sede fisica
App1.3 Tipologia di area: Hardware
App1.4 Tipologia di area: Controllo Accessi
App1.5 Tipologia di area: Networking
App1.6 Tipologia di area: Personale
App1.7 Tipologia di area: Documenti cartacei
App1.8 Tipologia di area: Software
App1.8.1 Elenco di scenari di incidenti per il SW
App1.8.2 OWASP Top 10 Vulnerabilities
App1.8.3 Modelli di categorizzazione delle minacce
App1.8.4 Il modello STRIDE di Microsoft (fonte AgID8)
App1.8.5 Valutazione delle minacce e delle vulnerabilità
App1.8.6 Vulnerability Assessment: Metodi per la gestione delle vulnerabilità tecniche
APPENDICE 2 - Strumenti e tecniche per il Privacy Risk Management
APPENDICE 3 – indice delle figure
APPENDICE 4 – indice delle tabelle
Ioannis Tsiouras
GDPR
Privacy Risk Management
Linea Guida
per la valutazione dell’impatto e dei rischi relativi alla sicurezza delle informazioni e dei dati personali in conformità alla ISO/IEC 27701 con l’estensione alle ISO/IEC 27001, ISO/IEC 27002 e ISO/IEC 27018
La metodologia soddisfa i requisiti della norma
ISO/IEC 27001 e i requisiti del GDPR
Youcanprint
Titolo | GDPR - Privacy Risk Management
Autore | Ioannis Tsiouras
Copertina a cura dell’autore
Linkedin: linkedin.com/in/ioannistsiouras/
Facebook: facebook.com/Ioannis Tsiouras
Twitter: twitter.com/iTsiouras
Ioannis Tsiouras, 2020
ISBN | 9788831658096
© 2020 - Tutti i diritti riservati all’Autore
Questa opera è pubblicata direttamente dall'Autore tramite la piattaforma di selfpublishing Youcanprint e l'Autore detiene ogni diritto della stessa in maniera esclusiva. Nessuna parte di questo libro può essere pertanto riprodotta senza il preventivo assenso dell'Autore.
Youcanprint
Via Marco Biagi 6 - 73100 Lecce
www.youcanprint.it
info@youcanprint.it
A Sofia, Mattia
e Nausicaà
Ioannis Tsiouras nasce in Grecia, dove compie gli studi classici e scientifici nella scuola dell’obbligo e in seguito si laurea in Ingegneria in Italia, dove vive da più di quarant’anni. Nell’ambito professionale le sue esperienze trovano consensi internazionali attraverso la pubblicazione di libri e articoli in riviste nazionali e internazionali e come membro esperto sull’eccellenza nel business e sul Risk Management in comitati italiani ed europei. È autore di articoli e dei seguenti libri editi da diverse case editrici:
Risk Management – La norma ISO 31000:2018. La metodologia per applicare efficacemente il risk management in tutti i contesti, Youcanprint Self-Publishing, 2018.
Pensiero basato sul rischio – Risk-based thinking, ebook, Youcanprint Self-Publishing, 2016.
La sicurezza delle informazioni - Dal Sistema di Gestione alla sicurezza dei sistemi informatici. Le norme BS 7799-2 e ISO/IEC 15408 (Common Criteria), FrancoAngeli, Milano, 2004.
La progettazione del sistema di gestione nelle organizzazioni ad alta intensità informativa - Dalla ISO 9000 alla modellazione del business, FrancoAngeli, Milano, 2005.
Guida alla certificazione ISO 9000 per le organizzazioni utenti e le aziende di informatica, FrancoAngeli, Milano,1998.
Governo e Miglioramento dei Processi, FrancoAngeli, Milano, 1998.
1. introduzione
La protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale ed è stabilito nella Carta dei diritti fondamentali dell’Unione Europea (Carta) e dal Trattato sul Funzionamento dell’Unione Europea (TFEU).
Sulla base dei documenti sopra citati e sulla base di altre norme e leggi al livello europeo, il Parlamento europeo e il Consiglio dell’Unione Europea ha emesso il 4 maggio 2016 il Regolamento Generale sulla Protezione dei Dati che è stato pubblicato in Gazzetta Ufficiale Europea con il titolo Regolamento UE n. 2016/679 (in seguito anche il "GDPR¹"), il quale è entrato in vigore il 25 maggio 2018.
Il GDPR, quindi, ha l’obiettivo di armonizzare la tutela dei diritti e delle libertà fondamentali delle persone fisiche nelle attività di trattamento dei dati e assicurare la libera circolazione dei dati personali tra Stati Membri.
Il GDPR si inserisce all'interno di quello che, insieme alla Direttiva 2016/680, è stato definito il Pacchetto europeo protezione dati
.
Gli Stati membri, sebbene il GDPR non abbia bisogno di recepimento, hanno avuto due anni per adeguare le proprie normative interne e per sensibilizzare le aziende alle novità introdotte e all’adeguamento dei propri trattamenti.
Il GDPR, dalla sua entrata in vigore, ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE) e, in Italia, attraverso il D. Lgs 101 del 10 agosto 2018, ha abrogato gli articoli del codice per la protezione dei dati personali del D. Lgs. n. 196/2003, con esso incompatibili.
Il Regolamento promuove la responsabilizzazione (accountability) del titolare del trattamento e l’adozione di politiche e approcci che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati.
Il concetto della protezione preventiva dei dati è uno dei requisiti principali del regolamento. Infatti, il Considerando 83 specifica che "per mantenere la sicurezza e prevenire trattamenti in violazione al regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi."
È importante perciò sottolineare che, poiché il concetto del rischio è un requisito centrale nel GDPR, dovrebbe essere guidato dall’approccio risk-based thinking (pensiero basato sul rischio) e gestito con la prospettiva del risk-based approach (approccio basato sul rischio), cioè: tanto più elevato è il livello di rischio (per i diritti e le libertà degli interessati), tanto più stringenti devono essere le misure e i controlli che il titolare del trattamento deve considerare. Il risk-based approach rappresenta una risposta chiara e coordinata per l’identificazione dei rischi da una determinata serie di circostanze. Implica un processo di valutazione continua dei rischi, man mano che nuove informazioni diventano disponibili; perciò il titolare e il responsabile del trattamento devono essere coadiuvati da persone competenti e devono coinvolgere persone esperte nell’analisi dei dati e dei trattamenti.
La protezione dei dati fin dalla progettazione (privacy by design) è l’impostazione proattiva per la tutela dei diritti degli interessati. Secondo questo concetto la probabilità e la gravità del rischio connesso al trattamento dovrebbero essere determinate con riguardo alla natura, all’ambito di applicazione, al contesto e alle finalità del trattamento stesso. Il rischio dovrebbe essere considerato in base a una valutazione oggettiva (Considerando 76).
Occorre tenere presente che la probabilità di una violazione e quella dell’impatto sui diritti delle persone fisiche possono essere definiti solamente attraverso stime caratterizzate, tra l’altro, da un grado di incertezza, pronte a compromettere la valutazione oggettiva del rischio.
L’esperienza, l’osservazione, l’approfondimento, il coinvolgimento delle persone esperte, ma anche l’adozione di approcci e metodologie validate e pubblicate dalle norme internazionali aiutano ad aumentare la conoscenza degli eventi durante i trattamenti dei dati e a valutare i rischi in modo più oggettivo possibile.
Per affrontare l’argomento in modo sistematico ed efficace e in modo più oggettivo possibile, il normatore ISO (International Organization for Standardization), a supporto della sicurezza delle informazioni e privacy, ha emesso una serie di norme come la ISO/IEC 29100, la ISO/IEC 29151, la ISO/IEC 27001, la ISO 27002, la ISO/IEC 27005, la ISO 27018, la ISO/IEC 27701 e altre. Alcune sono norme di requisiti, altre invece sono linee guida.
La norma ISO/IEC 27701, in primis, integra gli approcci, i requisiti e i controlli di tutte le norme che trattano la privacy e la sicurezza delle informazioni. Lo scopo di questa integrazione è quello di mettere a disposizione dei titolari del trattamento