SlideShare uma empresa Scribd logo

Gli audit in ambito privacy

CSI Piemonte
CSI Piemonte

Webinar "Gli audit di compliance: l'importanza dell'accountability" | 27 gennaio 2022 Intervento di Giancarlo Butti, Auditor Esperto privacy e sicurezza Autore e Docente

Tecnologia
1 de 28
Baixar para ler offline
© Giancarlo Butti - Audit in ambito privacy Gli audit in ambito privacy
© Giancarlo Butti - Audit in ambito privacy Ha acquisito un master in Gestione aziendale e Sviluppo Organizzativo presso il MIP Politecnico di Milano. Si occupa di ICT, organizzazione e normativa dai primi anni 80. Auditor, security manager ed esperto di privacy. Affianca all’attività professionale quella di divulgatore, tramite articoli, libri, white paper, manuali tecnici, corsi, seminari, convegni. Oltre 140 corsi e seminari presso ISACA/AIEA, ORACLE/CLUSIT, ITER, INFORMA BANCA, CONVENIA, CETIF, IKN, UNIVERSITA DI MILANO, CEFRIEL, ABI… Già docente del percorso professionalizzante ABI - Privacy Expert e Data Protection Officer e master presso diversi atenei. Ha all’attivo oltre 800 articoli e collaborazioni con oltre 30 testate. Ha pubblicato 25 fra libri e white paper alcuni dei quali utilizzati come testi universitari; ha partecipato alla redazione di 20 opere collettive nell’ambito di ABI LAB, Oracle Community for Security, Rapporto CLUSIT. Socio e già proboviro di AIEA è socio del CLUSIT e del BCI. Partecipa a numerosi gruppi di lavoro ed è fra i coordinatori di www.blog.europrivacy.info . Ha inoltre acquisito le certificazioni/qualificazioni LA BS7799, LA ISO/IEC27001, CRISC, CDPSE, ISM, DPO, CBCI, AMBCI. Giancarlo Butti
© Giancarlo Butti - Audit in ambito privacy Alcuni testi derivano da queste mie pubblicazioni Note sul copyright
© Giancarlo Butti - Audit in ambito privacy Note sul copyright • Le verifiche in ambito privacy • Caratteristiche degli audit in ambito privacy • Realizzare un assessment iniziale • Audit in pratica • La verifica dei vari requisiti normativi • Audit dei sistemi informativi • Audit delle misure di sicurezza • L’audit degli aspetti normativi
© Giancarlo Butti - Audit in ambito privacy
© Giancarlo Butti - Audit in ambito privacy https://www.informabanca.it/2021/12/ 28/laudit-sulla-privacy-valutazioni- verifiche-gestione-dei-rischi/
© Giancarlo Butti - Audit in ambito privacy Perché si svolge l’attività di audit in ambito privacy? • Per TUTELARE L’AZIENDA da: • Sanzioni • Risarcimenti per danni a terzi • Come strumento di accountability • Come obbligo di verifica e sorveglianza per il DPO • Come attività di supporto e consulenza • Come opportunità Perché le attività di audit in ambito privacy
© Giancarlo Butti - Audit in ambito privacy Sanzioni – Economiche – Non economiche (imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento) – Penali Da cui possono derivare Un danno reputazionale Possibili interruzioni dei servizi – Danno economico – Contenzioso – Danno reputazionale Perché le attività di audit in ambito privacy
© Giancarlo Butti - Audit in ambito privacy Le attività di audit riguardano: • Autovalutazione degli adempimenti effettuati dal Titolare/Responsabile tramite strutture interne (audit/compliance) o esterne • Valutazione degli adempimenti effettuati dal DPO anche per il tramite di strutture interne (audit/compliance) o esterne • Valutazione di un Titolare sugli adempimenti contrattuali del Responsabile • Valutazione di un Titolare sugli adempimenti contrattuali del DPO • Valutazione di un Titolare sui requisiti del DPO AUDIT: attività di audit in ambito privacy
© Giancarlo Butti - Audit in ambito privacy • Audit ambiti formalizzati • Audit ambiti non formalizzati • Audit verticali su singole tematiche • Audit orizzontali di processo • Assesment complessivi • Valutazione di adeguamento TIPOLOGIA DI AUDIT in ambito privacy
© Giancarlo Butti - Audit in ambito privacy • Audit su ambiti formali: – Informative – Designazioni – Basi giuridiche • Audit su ambiti non formalizzati – Misure di sicurezza – Analisi dei rischi • Audit su temi specifici: – Amministratori di Sistema – Videosorveglianza – Firma grafometrica – … • Audit tecnici/organizzativi specifici: – Profilazione degli utenti – Tempi di conservazione – Esercizio dei diritti – Qualità dei dati – … TIPOLOGIA DI AUDIT in ambito privacy
© Giancarlo Butti - Audit in ambito privacy • Verifica (ove opportuno) della «migrazione» • Verifica di corrispondenza (impianto) richiesta normativa/contenuto documenti • Verifica del processo che ha portato alle scelte effettuate – Soggetti coinvolti – Chi ha effettuato le assunzioni di rischio • Verifica dei processi di supporto • Verifica di corrispondenza – Il contenuto del documento corrisponde al vero • Verifica di funzionamento Ambiti di audit: ambiti formalizzati
© Giancarlo Butti - Audit in ambito privacy • Verifica del processo che ha portato alle scelte effettuate – Soggetti coinvolti – Chi ha effettuato le assunzioni di rischio • Verifica del ricorso a documenti/strumenti/standard autorevoli quale base di riferimento • Verifica dei processi di supporto • Verifica di corrispondenza fra quanto implementato e la base di riferimento • Verifica di funzionamento Ambiti di audit: ambiti non formalizzati
© Giancarlo Butti - Audit in ambito privacy Valutazione complessiva degli adempimenti privacy al fine di: • Individuare le aree di maggior rischio • Definire un programma di audit annuale e pluriannuale • Definire le aree sulle quali attivare un monitoraggio nel continuo • … ASSESMENT
© Giancarlo Butti - Audit in ambito privacy I limiti degli audit di impianto: • si evidenzia che una tale formulazione, per quanto dettagliata, nulla dice circa il fatto che l’informativa sia effettivamente conforme • fermarsi a questo livello di analisi può essere molto utile, ma non garantisce la conformità alla normativa • infatti l’informativa potrebbe essere ineccepibile dal punto di vista dei contenuti, ma non rispecchiare le reali modalità con cui si svolge un trattamento. Una tale informativa risulterebbe quindi non conforme e come tale sanzionabile • per ogni macro requisito normativo (ad esempio un singolo articolo della normativa), sarebbe opportuno redigere uno specchietto come il seguente, che ha sempre come tema quello delle informative: Costruire una check list per un audit di impianto: i limiti
© Giancarlo Butti - Audit in ambito privacy Oggetto Impianto teorico Agito Verifica dei requisiti normativi Il contenuto dell’informativa corrisponde a quanto richiesto dalla normativa? Il testo è semplice e chiaro? I trattamenti si svolgono esattamente come descritto nella informativa? Verifica delle procedure di gestione. Esistono specifiche procedure per: • la stesura delle informative • la scelta della forma di rilascio (carta, on line…) • la messa a disposizione di chi deve rilasciarle • il rilascio • la raccolta delle evidenze Verifica di esistenza Verifica di efficacia, efficienza, coerenza Verifica dell’agito Verifica delle procedure di supporto. Esistono specifiche procedure per: • il monitoraggio dell’esigenza di nuove informative • il monitoraggio dell’esigenza di variazione delle informative esistenti Verifica di esistenza Verifica di efficacia, efficienza, coerenza Verifica dell’agito Verifica di coerenza Il contenuto delle informative è coerente con quanto espresso in altri documenti aziendali? Il contenuto delle procedure è coerente con quanto espresso in altri documenti aziendali? Dall’audit di impianto ad un audit effettivo Tratto dal libro G. Butti, M.R. Perugini «Audit e GDPR», FrancoAngeli
© Giancarlo Butti - Audit in ambito privacy Spesso chi svolge le attività di verifica è lo stesso soggetto che ha implementato il modello privacy Una verifica di questo tipo: • non da alcun valore aggiunto • da un falso senso di conformità, in quanto il Titolare pensa effettivamente che sia svolta un’attività di verifica • non vi è alcuna revisione del modello privacy implementato, che viene considerato corretto in quanto implementato da chi effettua le verifiche • poco professionale • può essere considerato elusivo rispetto ad una reale volontà di controllo. Con gli schemi di certificazione tradizionali (qualità, sicurezza, ambiente…): • Il consulente aiuta l’azienda a predisporre il proprio modello • Il certificatore verifica la conformità I rischi delle verifiche in ambito privacy: conflitto di interessi
© Giancarlo Butti - Audit in ambito privacy Chi ha implementato può, correttamente, solo verificare che le disposizione previste dal modello siano rispettate. Non può verificare il modello che ha implementato. I rischi delle verifiche in ambito privacy: conflitto di interessi
© Giancarlo Butti - Audit in ambito privacy Limitarsi alla realizzazione di molteplici verifiche “verticali” su temi specifici (come, ad esempio, sulla conformità formale delle informative) può portare alla formulazione di una errata valutazione sull’effettiva conformità complessiva del Titolare. L’osservanza di una normativa assai complessa e articolata come quella privacy può essere accertata solo attraverso “audit di processo” che comprendano sia gli aspetti formali, che le implementazioni organizzativi e tecniche adottate. In partica, è quindi opportuno procedere svolgendo pochi audit ben mirati e approfonditi su aree considerate a rischio, piuttosto che molti audit su singoli argomenti. ATTENZIONE a non impostare programmi di audit basati solo su audit verticali; potrebbe essere considerata un’azione elusiva di una reale volontà di controllo. I rischi delle verifiche in ambito privacy: tipi di verifica
© Giancarlo Butti - Audit in ambito privacy Presi singolarmente un dado ed una vite potrebbero essere perfettamente conformi ai requisiti richiesti Audit mirati su argomenti specifici e verticali possono portare a interpretazioni errate I rischi delle verifiche in ambito privacy: verifiche solo verticali
© Giancarlo Butti - Audit in ambito privacy Solo presi insieme (solo analizzando trasversalmente un processo) si può capire se effettivamente funziona. La conformità di elementi presi singolarmente non è significativo in merito alla conformità dell’insieme: l’idea di tanti piccoli audit su argomenti specifici NON È UNA BUONA IDEA… I rischi delle verifiche in ambito privacy: verifiche solo verticali
© Giancarlo Butti - Audit in ambito privacy Il GDPR non è una nuova normativa, ma una evoluzione di una normativa esistente: • la maggior parte degli adempimenti previsti dal GDPR erano già in vigore • in molti casi si tratta esattamente degli stessi adempimenti • l’unica differenza è che nel GDPR il mancato rispetto di tali prescrizioni viene sanzionato I rischi delle verifiche in ambito privacy: continuità normativa
© Giancarlo Butti - Audit in ambito privacy Le attività di verifica possono quindi non solo documentare la mancanza di un adeguamento alla normativa privacy, ma anche un presunto adeguamento al GDPR. Se ad esempio si rileva un’attività significativa volta a definire i tempi di conservazione dei dati, si da evidenza del fatto che in precedenza tale attività non era normata, in violazione di una prescrizione normativa che risale alla 675/96. Analogamente ad esempio per la qualità dei dati e decine di altri adempimenti. L’attività di verifica può quindi evidenziare non solo l’attuale mancato rispetto della normativa, ma una precedente sostanziale non conformità. Spesso le aziende enfatizzano i loro progetti di adeguamento ed in tal modo producono evidenze oggettive del mancato rispetto della precedente normativa. I rischi delle verifiche in ambito privacy: continuità normativa
© Giancarlo Butti - Audit in ambito privacy GDPR – Art. 5/D.lgs 196/03 – Art. 11 675/96 – Art. 9 1. I dati personali sono:… d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati… 1. I dati personali oggetto di trattamento devono essere:… c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. I rischi delle verifiche in ambito privacy: continuità normativa
© Giancarlo Butti - Audit in ambito privacy Si evidenzia che tale rischio non è solo legato alle attività di verifica. Ad esempio un’analisi dei rischi eseguita ai sensi dell’art. 32, se porta a evidenziare scostamenti notevoli o la mancanza di misure di sicurezza che erano classificate come obbligatorie (misure minime nella precedente normativa) produce evidenze oggettive del mancato rispetto di un precedente requisito presidiato penalmente. I rischi delle verifiche in ambito privacy: continuità normativa
© Giancarlo Butti - Audit in ambito privacy CyberSecurity360
© Giancarlo Butti - Audit in ambito privacy Verifiche in ambito privacy, dalle check list ai sistemi esperti: strumenti e consigli pratici https://www.cybersecurity360.it/legal/privacy-dati-personali/verifiche-in-ambito-privacy-dalle-check- list-ai-sistemi-esperti-strumenti-e-consigli-pratici/ Audit e GDPR: competenze e linee guida per svolgere correttamente le verifiche in ambito privacy https://www.cybersecurity360.it/legal/privacy-dati-personali/audit-e-gdpr-competenze-e-linee- guida-per-svolgere-correttamente-le-verifiche-in-ambito-privacy/ I rischi dell’attività di audit nel percorso di adeguamento al GDPR https://www.cybersecurity360.it/legal/privacy-dati-personali/i-rischi-dellattivita-di-audit-nel- percorso-di-adeguamento-al-gdpr/ Audit e controlli interni: come ridurre il rischio cyber (post Gdpr) https://www.cybersecurity360.it/soluzioni-aziendali/audit-e-controlli-interni-come-ridurre-il-rischio- cyber-post-gdpr/ Il DPO e il rischio di conflitto di interessi: profili e allocazione delle responsabilità https://www.cybersecurity360.it/legal/privacy-dati-personali/il-dpo-e-il-rischio-di-conflitto-di- interessi-profili-e-allocazione-delle-responsabilita/ CyberSecurity360
© Giancarlo Butti - Audit in ambito privacy Grazie per l’attenzione giancarlo.butti@promo.it gb@mrperugini.it www.mrperugini.it 338 9230742

Recomendados

Audit di compliance e rapporti con i fornitori
Audit di compliance e rapporti con i fornitoriAudit di compliance e rapporti con i fornitori
Audit di compliance e rapporti con i fornitori
CSI Piemonte
 
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
CSI Piemonte
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPR
CSI Piemonte
 
Audit GDPR
Audit GDPRAudit GDPR
Audit GDPR
CSI Piemonte
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
CSI Piemonte
 
Come gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaCome gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Giulio Coraggio
 
Gli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachGli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data Breach
Adriano Bertolino
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI Piemonte
CSI Piemonte
 

Recomendados

Audit di compliance e rapporti con i fornitori
Audit di compliance e rapporti con i fornitoriAudit di compliance e rapporti con i fornitori
Audit di compliance e rapporti con i fornitori
CSI Piemonte
 
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
Videosorveglianza e biometria. Nuove frontiere tra tecnologia e tutela dei di...
CSI Piemonte
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPR
CSI Piemonte
 
Audit GDPR
Audit GDPRAudit GDPR
Audit GDPR
CSI Piemonte
 
Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirli
CSI Piemonte
 
Come gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in ItaliaCome gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Come gestire le problematiche privacy dell'emergenza Covid-19 in Italia
Giulio Coraggio
 
Gli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data BreachGli obblighi del GDPR in caso di Data Breach
Gli obblighi del GDPR in caso di Data Breach
Adriano Bertolino
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI Piemonte
CSI Piemonte
 
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Giulio Coraggio
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
Alessandro Piva
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
Carlo Balbo
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
M2 Informatica
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
CSI Piemonte
 
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECPrivacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Fabio Guasconi
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Par-Tec S.p.A.
 
DIGITAL BUSINESS SECURITY
DIGITAL BUSINESS SECURITY DIGITAL BUSINESS SECURITY
DIGITAL BUSINESS SECURITY
SMAU
 
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
CSI Piemonte
 
Sistemi sicurezza e procedure
Sistemi sicurezza e procedureSistemi sicurezza e procedure
Sistemi sicurezza e procedure
RuggeroRomano
 
I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012
Mario Gentili
 
Le Perizie Di Stima Convegno Venezia
Le Perizie Di Stima Convegno VeneziaLe Perizie Di Stima Convegno Venezia
Le Perizie Di Stima Convegno Venezia
Andrea Arrigo Panato
 
Le perizie di stima cattolica - piacenza 2011
Le perizie di stima cattolica - piacenza 2011Le perizie di stima cattolica - piacenza 2011
Le perizie di stima cattolica - piacenza 2011
Andrea Arrigo Panato
 
Le perizie di stima verona 2011
Le perizie di stima verona 2011Le perizie di stima verona 2011
Le perizie di stima verona 2011
Andrea Arrigo Panato
 
Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013
Sylvio Verrecchia - IT Security Engineer
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Simone Onofri
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
Luca Moroni ✔✔
 
Valutazione Per Decidere Se Cedere Le Quote O Lazienda Arcer Parma
Valutazione Per Decidere Se Cedere Le Quote O Lazienda Arcer ParmaValutazione Per Decidere Se Cedere Le Quote O Lazienda Arcer Parma
Valutazione Per Decidere Se Cedere Le Quote O Lazienda Arcer Parma
Andrea Arrigo Panato
 
Project work Ipe-kpmg
Project work Ipe-kpmgProject work Ipe-kpmg
Project work Ipe-kpmg
IPE Business School
 
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
TheBCI
 

Mais conteúdo relacionado

Mais procurados

Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
Alessandro Piva
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Par-Tec S.p.A.
 
DIGITAL BUSINESS SECURITY
DIGITAL BUSINESS SECURITY DIGITAL BUSINESS SECURITY
DIGITAL BUSINESS SECURITY
SMAU
 

Mais procurados (11)

Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBMarketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPB
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & Privacy
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
ProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber riskProtezioneCyber - Gestione integrata del cyber risk
ProtezioneCyber - Gestione integrata del cyber risk
 
Cyber ready?
Cyber ready?Cyber ready?
Cyber ready?
 
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IECPrivacy e sicurezza informatica secondo i nuovi standard ISO IEC
Privacy e sicurezza informatica secondo i nuovi standard ISO IEC
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
 
DIGITAL BUSINESS SECURITY
DIGITAL BUSINESS SECURITY DIGITAL BUSINESS SECURITY
DIGITAL BUSINESS SECURITY
 
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
La figura del DPO: compiti e funzioni all'interno dell'organizzazione del tit...
 

Semelhante a Gli audit in ambito privacy

I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012
Mario Gentili
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Simone Onofri
 
Project work Ipe-kpmg
Project work Ipe-kpmgProject work Ipe-kpmg
Project work Ipe-kpmg
IPE Business School
 
Ia looking forward trends (video version)
Ia looking forward trends (video version)Ia looking forward trends (video version)
Ia looking forward trends (video version)
silviodg
 
Intervento ciro strazzeri
Intervento ciro strazzeriIntervento ciro strazzeri
Intervento ciro strazzeri
ghirardo
 

Semelhante a Gli audit in ambito privacy (20)

Sistemi sicurezza e procedure
Sistemi sicurezza e procedureSistemi sicurezza e procedure
Sistemi sicurezza e procedure
 
I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012I processi di audit secondo la norma Uni en iso 19011:2012
I processi di audit secondo la norma Uni en iso 19011:2012
 
Le Perizie Di Stima Convegno Venezia
Le Perizie Di Stima Convegno VeneziaLe Perizie Di Stima Convegno Venezia
Le Perizie Di Stima Convegno Venezia
 
Le perizie di stima cattolica - piacenza 2011
Le perizie di stima cattolica - piacenza 2011Le perizie di stima cattolica - piacenza 2011
Le perizie di stima cattolica - piacenza 2011
 
Le perizie di stima verona 2011
Le perizie di stima verona 2011Le perizie di stima verona 2011
Le perizie di stima verona 2011
 
Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013Audit ISO 19011:2011 e ISO 27001:2013
Audit ISO 19011:2011 e ISO 27001:2013
 
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...Security Project Management: Esperienze nella gestione di Vulnerability Asses...
Security Project Management: Esperienze nella gestione di Vulnerability Asses...
 
Articolo aprile 2013 ict security
Articolo aprile 2013 ict securityArticolo aprile 2013 ict security
Articolo aprile 2013 ict security
 
Valutazione Per Decidere Se Cedere Le Quote O Lazienda Arcer Parma
Valutazione Per Decidere Se Cedere Le Quote O Lazienda Arcer ParmaValutazione Per Decidere Se Cedere Le Quote O Lazienda Arcer Parma
Valutazione Per Decidere Se Cedere Le Quote O Lazienda Arcer Parma
 
Project work Ipe-kpmg
Project work Ipe-kpmgProject work Ipe-kpmg
Project work Ipe-kpmg
 
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
BCI Italy Forum Meeting 25 gennaio: presentazioni disponibili 04 butti gdpr...
 
Ia looking forward trends (video version)
Ia looking forward trends (video version)Ia looking forward trends (video version)
Ia looking forward trends (video version)
 
Presentazione
PresentazionePresentazione
Presentazione
 
LA NORMA ISO 27001
LA NORMA ISO 27001LA NORMA ISO 27001
LA NORMA ISO 27001
 
Realizzazione Pratica Modelli 231 Versione Pdf (Rev 01)
Realizzazione Pratica Modelli 231 Versione Pdf (Rev 01)Realizzazione Pratica Modelli 231 Versione Pdf (Rev 01)
Realizzazione Pratica Modelli 231 Versione Pdf (Rev 01)
 
Intervento ciro strazzeri
Intervento ciro strazzeriIntervento ciro strazzeri
Intervento ciro strazzeri
 
Modelli organizzativi 231 - Profili giurisprudenziali
Modelli organizzativi 231 - Profili giurisprudenzialiModelli organizzativi 231 - Profili giurisprudenziali
Modelli organizzativi 231 - Profili giurisprudenziali
 
IT Governance
IT GovernanceIT Governance
IT Governance
 
Presentazione del progetto CAST
Presentazione del progetto CASTPresentazione del progetto CAST
Presentazione del progetto CAST
 
SavoldelliStudio - presentazione
SavoldelliStudio - presentazioneSavoldelliStudio - presentazione
SavoldelliStudio - presentazione
 

Mais de CSI Piemonte

Mais de CSI Piemonte (20)

"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori
"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori
"SocializziAmo" per un uso sicuro e consapevole dei social da parte dei minori
 
Riconoscere e contrastare le minacce
Riconoscere e contrastare le minacceRiconoscere e contrastare le minacce
Riconoscere e contrastare le minacce
 
Il fattore umano
Il fattore umanoIl fattore umano
Il fattore umano
 
Sicurezza Urbana Integrata
Sicurezza Urbana IntegrataSicurezza Urbana Integrata
Sicurezza Urbana Integrata
 
Titolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazioneTitolare e Responsabile protezione dati: la comunicazione
Titolare e Responsabile protezione dati: la comunicazione
 
Far crescere la cultura della privacy
Far crescere la cultura della privacyFar crescere la cultura della privacy
Far crescere la cultura della privacy
 
Privacy e cybersecurity: la comunicazione
Privacy e cybersecurity: la comunicazionePrivacy e cybersecurity: la comunicazione
Privacy e cybersecurity: la comunicazione
 
Guidelines on Examples regarding Data Breach Notification
Guidelines on Examples regarding Data Breach NotificationGuidelines on Examples regarding Data Breach Notification
Guidelines on Examples regarding Data Breach Notification
 
Responsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPOResponsabile della protezione dei dati, una figura chiave RPD| DPO
Responsabile della protezione dei dati, una figura chiave RPD| DPO
 
So di non sapere?
So di non sapere?So di non sapere?
So di non sapere?
 
Errori tipici nella gestione del data breach
Errori tipici nella gestione del data breachErrori tipici nella gestione del data breach
Errori tipici nella gestione del data breach
 
Sicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologiaSicurezza informatica: non solo tecnologia
Sicurezza informatica: non solo tecnologia
 
Sicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubbliciSicurezza informatica per dipendenti pubblici
Sicurezza informatica per dipendenti pubblici
 
La sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitaleLa sicurezza dei dati in un mondo digitale
La sicurezza dei dati in un mondo digitale
 
Formazione e Consapevolezza
Formazione e ConsapevolezzaFormazione e Consapevolezza
Formazione e Consapevolezza
 
Il fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italianoIl fenomeno cyber security e il mercato italiano
Il fenomeno cyber security e il mercato italiano
 
Sanzioni e provvedimenti: casi di situazioni reali
Sanzioni e provvedimenti: casi di situazioni realiSanzioni e provvedimenti: casi di situazioni reali
Sanzioni e provvedimenti: casi di situazioni reali
 
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
 
Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...
Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...
Rapporto tra Primo Cittadino e Data Protection Officer: aspetti pratici ed im...
 
Il percorso di migrazione: istruzioni per l'uso
Il percorso di migrazione: istruzioni per l'usoIl percorso di migrazione: istruzioni per l'uso
Il percorso di migrazione: istruzioni per l'uso
 

Gli audit in ambito privacy

  • 1. © Giancarlo Butti - Audit in ambito privacy Gli audit in ambito privacy
  • 2. © Giancarlo Butti - Audit in ambito privacy Ha acquisito un master in Gestione aziendale e Sviluppo Organizzativo presso il MIP Politecnico di Milano. Si occupa di ICT, organizzazione e normativa dai primi anni 80. Auditor, security manager ed esperto di privacy. Affianca all’attività professionale quella di divulgatore, tramite articoli, libri, white paper, manuali tecnici, corsi, seminari, convegni. Oltre 140 corsi e seminari presso ISACA/AIEA, ORACLE/CLUSIT, ITER, INFORMA BANCA, CONVENIA, CETIF, IKN, UNIVERSITA DI MILANO, CEFRIEL, ABI… Già docente del percorso professionalizzante ABI - Privacy Expert e Data Protection Officer e master presso diversi atenei. Ha all’attivo oltre 800 articoli e collaborazioni con oltre 30 testate. Ha pubblicato 25 fra libri e white paper alcuni dei quali utilizzati come testi universitari; ha partecipato alla redazione di 20 opere collettive nell’ambito di ABI LAB, Oracle Community for Security, Rapporto CLUSIT. Socio e già proboviro di AIEA è socio del CLUSIT e del BCI. Partecipa a numerosi gruppi di lavoro ed è fra i coordinatori di www.blog.europrivacy.info . Ha inoltre acquisito le certificazioni/qualificazioni LA BS7799, LA ISO/IEC27001, CRISC, CDPSE, ISM, DPO, CBCI, AMBCI. Giancarlo Butti
  • 3. © Giancarlo Butti - Audit in ambito privacy Alcuni testi derivano da queste mie pubblicazioni Note sul copyright
  • 4. © Giancarlo Butti - Audit in ambito privacy Note sul copyright • Le verifiche in ambito privacy • Caratteristiche degli audit in ambito privacy • Realizzare un assessment iniziale • Audit in pratica • La verifica dei vari requisiti normativi • Audit dei sistemi informativi • Audit delle misure di sicurezza • L’audit degli aspetti normativi
  • 5. © Giancarlo Butti - Audit in ambito privacy
  • 6. © Giancarlo Butti - Audit in ambito privacy https://www.informabanca.it/2021/12/ 28/laudit-sulla-privacy-valutazioni- verifiche-gestione-dei-rischi/
  • 7. © Giancarlo Butti - Audit in ambito privacy Perché si svolge l’attività di audit in ambito privacy? • Per TUTELARE L’AZIENDA da: • Sanzioni • Risarcimenti per danni a terzi • Come strumento di accountability • Come obbligo di verifica e sorveglianza per il DPO • Come attività di supporto e consulenza • Come opportunità Perché le attività di audit in ambito privacy
  • 8. © Giancarlo Butti - Audit in ambito privacy Sanzioni – Economiche – Non economiche (imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento) – Penali Da cui possono derivare Un danno reputazionale Possibili interruzioni dei servizi – Danno economico – Contenzioso – Danno reputazionale Perché le attività di audit in ambito privacy
  • 9. © Giancarlo Butti - Audit in ambito privacy Le attività di audit riguardano: • Autovalutazione degli adempimenti effettuati dal Titolare/Responsabile tramite strutture interne (audit/compliance) o esterne • Valutazione degli adempimenti effettuati dal DPO anche per il tramite di strutture interne (audit/compliance) o esterne • Valutazione di un Titolare sugli adempimenti contrattuali del Responsabile • Valutazione di un Titolare sugli adempimenti contrattuali del DPO • Valutazione di un Titolare sui requisiti del DPO AUDIT: attività di audit in ambito privacy
  • 10. © Giancarlo Butti - Audit in ambito privacy • Audit ambiti formalizzati • Audit ambiti non formalizzati • Audit verticali su singole tematiche • Audit orizzontali di processo • Assesment complessivi • Valutazione di adeguamento TIPOLOGIA DI AUDIT in ambito privacy
  • 11. © Giancarlo Butti - Audit in ambito privacy • Audit su ambiti formali: – Informative – Designazioni – Basi giuridiche • Audit su ambiti non formalizzati – Misure di sicurezza – Analisi dei rischi • Audit su temi specifici: – Amministratori di Sistema – Videosorveglianza – Firma grafometrica – … • Audit tecnici/organizzativi specifici: – Profilazione degli utenti – Tempi di conservazione – Esercizio dei diritti – Qualità dei dati – … TIPOLOGIA DI AUDIT in ambito privacy
  • 12. © Giancarlo Butti - Audit in ambito privacy • Verifica (ove opportuno) della «migrazione» • Verifica di corrispondenza (impianto) richiesta normativa/contenuto documenti • Verifica del processo che ha portato alle scelte effettuate – Soggetti coinvolti – Chi ha effettuato le assunzioni di rischio • Verifica dei processi di supporto • Verifica di corrispondenza – Il contenuto del documento corrisponde al vero • Verifica di funzionamento Ambiti di audit: ambiti formalizzati
  • 13. © Giancarlo Butti - Audit in ambito privacy • Verifica del processo che ha portato alle scelte effettuate – Soggetti coinvolti – Chi ha effettuato le assunzioni di rischio • Verifica del ricorso a documenti/strumenti/standard autorevoli quale base di riferimento • Verifica dei processi di supporto • Verifica di corrispondenza fra quanto implementato e la base di riferimento • Verifica di funzionamento Ambiti di audit: ambiti non formalizzati
  • 14. © Giancarlo Butti - Audit in ambito privacy Valutazione complessiva degli adempimenti privacy al fine di: • Individuare le aree di maggior rischio • Definire un programma di audit annuale e pluriannuale • Definire le aree sulle quali attivare un monitoraggio nel continuo • … ASSESMENT
  • 15. © Giancarlo Butti - Audit in ambito privacy I limiti degli audit di impianto: • si evidenzia che una tale formulazione, per quanto dettagliata, nulla dice circa il fatto che l’informativa sia effettivamente conforme • fermarsi a questo livello di analisi può essere molto utile, ma non garantisce la conformità alla normativa • infatti l’informativa potrebbe essere ineccepibile dal punto di vista dei contenuti, ma non rispecchiare le reali modalità con cui si svolge un trattamento. Una tale informativa risulterebbe quindi non conforme e come tale sanzionabile • per ogni macro requisito normativo (ad esempio un singolo articolo della normativa), sarebbe opportuno redigere uno specchietto come il seguente, che ha sempre come tema quello delle informative: Costruire una check list per un audit di impianto: i limiti
  • 16. © Giancarlo Butti - Audit in ambito privacy Oggetto Impianto teorico Agito Verifica dei requisiti normativi Il contenuto dell’informativa corrisponde a quanto richiesto dalla normativa? Il testo è semplice e chiaro? I trattamenti si svolgono esattamente come descritto nella informativa? Verifica delle procedure di gestione. Esistono specifiche procedure per: • la stesura delle informative • la scelta della forma di rilascio (carta, on line…) • la messa a disposizione di chi deve rilasciarle • il rilascio • la raccolta delle evidenze Verifica di esistenza Verifica di efficacia, efficienza, coerenza Verifica dell’agito Verifica delle procedure di supporto. Esistono specifiche procedure per: • il monitoraggio dell’esigenza di nuove informative • il monitoraggio dell’esigenza di variazione delle informative esistenti Verifica di esistenza Verifica di efficacia, efficienza, coerenza Verifica dell’agito Verifica di coerenza Il contenuto delle informative è coerente con quanto espresso in altri documenti aziendali? Il contenuto delle procedure è coerente con quanto espresso in altri documenti aziendali? Dall’audit di impianto ad un audit effettivo Tratto dal libro G. Butti, M.R. Perugini «Audit e GDPR», FrancoAngeli
  • 17. © Giancarlo Butti - Audit in ambito privacy Spesso chi svolge le attività di verifica è lo stesso soggetto che ha implementato il modello privacy Una verifica di questo tipo: • non da alcun valore aggiunto • da un falso senso di conformità, in quanto il Titolare pensa effettivamente che sia svolta un’attività di verifica • non vi è alcuna revisione del modello privacy implementato, che viene considerato corretto in quanto implementato da chi effettua le verifiche • poco professionale • può essere considerato elusivo rispetto ad una reale volontà di controllo. Con gli schemi di certificazione tradizionali (qualità, sicurezza, ambiente…): • Il consulente aiuta l’azienda a predisporre il proprio modello • Il certificatore verifica la conformità I rischi delle verifiche in ambito privacy: conflitto di interessi
  • 18. © Giancarlo Butti - Audit in ambito privacy Chi ha implementato può, correttamente, solo verificare che le disposizione previste dal modello siano rispettate. Non può verificare il modello che ha implementato. I rischi delle verifiche in ambito privacy: conflitto di interessi
  • 19. © Giancarlo Butti - Audit in ambito privacy Limitarsi alla realizzazione di molteplici verifiche “verticali” su temi specifici (come, ad esempio, sulla conformità formale delle informative) può portare alla formulazione di una errata valutazione sull’effettiva conformità complessiva del Titolare. L’osservanza di una normativa assai complessa e articolata come quella privacy può essere accertata solo attraverso “audit di processo” che comprendano sia gli aspetti formali, che le implementazioni organizzativi e tecniche adottate. In partica, è quindi opportuno procedere svolgendo pochi audit ben mirati e approfonditi su aree considerate a rischio, piuttosto che molti audit su singoli argomenti. ATTENZIONE a non impostare programmi di audit basati solo su audit verticali; potrebbe essere considerata un’azione elusiva di una reale volontà di controllo. I rischi delle verifiche in ambito privacy: tipi di verifica
  • 20. © Giancarlo Butti - Audit in ambito privacy Presi singolarmente un dado ed una vite potrebbero essere perfettamente conformi ai requisiti richiesti Audit mirati su argomenti specifici e verticali possono portare a interpretazioni errate I rischi delle verifiche in ambito privacy: verifiche solo verticali
  • 21. © Giancarlo Butti - Audit in ambito privacy Solo presi insieme (solo analizzando trasversalmente un processo) si può capire se effettivamente funziona. La conformità di elementi presi singolarmente non è significativo in merito alla conformità dell’insieme: l’idea di tanti piccoli audit su argomenti specifici NON È UNA BUONA IDEA… I rischi delle verifiche in ambito privacy: verifiche solo verticali
  • 22. © Giancarlo Butti - Audit in ambito privacy Il GDPR non è una nuova normativa, ma una evoluzione di una normativa esistente: • la maggior parte degli adempimenti previsti dal GDPR erano già in vigore • in molti casi si tratta esattamente degli stessi adempimenti • l’unica differenza è che nel GDPR il mancato rispetto di tali prescrizioni viene sanzionato I rischi delle verifiche in ambito privacy: continuità normativa
  • 23. © Giancarlo Butti - Audit in ambito privacy Le attività di verifica possono quindi non solo documentare la mancanza di un adeguamento alla normativa privacy, ma anche un presunto adeguamento al GDPR. Se ad esempio si rileva un’attività significativa volta a definire i tempi di conservazione dei dati, si da evidenza del fatto che in precedenza tale attività non era normata, in violazione di una prescrizione normativa che risale alla 675/96. Analogamente ad esempio per la qualità dei dati e decine di altri adempimenti. L’attività di verifica può quindi evidenziare non solo l’attuale mancato rispetto della normativa, ma una precedente sostanziale non conformità. Spesso le aziende enfatizzano i loro progetti di adeguamento ed in tal modo producono evidenze oggettive del mancato rispetto della precedente normativa. I rischi delle verifiche in ambito privacy: continuità normativa
  • 24. © Giancarlo Butti - Audit in ambito privacy GDPR – Art. 5/D.lgs 196/03 – Art. 11 675/96 – Art. 9 1. I dati personali sono:… d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati… 1. I dati personali oggetto di trattamento devono essere:… c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. I rischi delle verifiche in ambito privacy: continuità normativa
  • 25. © Giancarlo Butti - Audit in ambito privacy Si evidenzia che tale rischio non è solo legato alle attività di verifica. Ad esempio un’analisi dei rischi eseguita ai sensi dell’art. 32, se porta a evidenziare scostamenti notevoli o la mancanza di misure di sicurezza che erano classificate come obbligatorie (misure minime nella precedente normativa) produce evidenze oggettive del mancato rispetto di un precedente requisito presidiato penalmente. I rischi delle verifiche in ambito privacy: continuità normativa
  • 26. © Giancarlo Butti - Audit in ambito privacy CyberSecurity360
  • 27. © Giancarlo Butti - Audit in ambito privacy Verifiche in ambito privacy, dalle check list ai sistemi esperti: strumenti e consigli pratici https://www.cybersecurity360.it/legal/privacy-dati-personali/verifiche-in-ambito-privacy-dalle-check- list-ai-sistemi-esperti-strumenti-e-consigli-pratici/ Audit e GDPR: competenze e linee guida per svolgere correttamente le verifiche in ambito privacy https://www.cybersecurity360.it/legal/privacy-dati-personali/audit-e-gdpr-competenze-e-linee- guida-per-svolgere-correttamente-le-verifiche-in-ambito-privacy/ I rischi dell’attività di audit nel percorso di adeguamento al GDPR https://www.cybersecurity360.it/legal/privacy-dati-personali/i-rischi-dellattivita-di-audit-nel- percorso-di-adeguamento-al-gdpr/ Audit e controlli interni: come ridurre il rischio cyber (post Gdpr) https://www.cybersecurity360.it/soluzioni-aziendali/audit-e-controlli-interni-come-ridurre-il-rischio- cyber-post-gdpr/ Il DPO e il rischio di conflitto di interessi: profili e allocazione delle responsabilità https://www.cybersecurity360.it/legal/privacy-dati-personali/il-dpo-e-il-rischio-di-conflitto-di- interessi-profili-e-allocazione-delle-responsabilita/ CyberSecurity360
  • 28. © Giancarlo Butti - Audit in ambito privacy Grazie per l’attenzione giancarlo.butti@promo.it gb@mrperugini.it www.mrperugini.it 338 9230742