08:30-09:30

Accredito partecipanti

CheckIn dei partecipanti alla reception dell’evento.

10:00-10:25

Introduzione al GDPR: quali sono le reali novità? 

Cos’è, realmente, il GDPR? Vedremo assieme quali sono i punti focali del nuovo Regolamento, basandoci soprattutto su una domanda cui dobbiamo rispondere. Privacy: fardello o vantaggio?

Faremo un breve focus sul Codice vigente, dal dlgs 196/03 al Regolamento Europeo 679/2016 (GDPR), per capire da dove arriviamo e dove dobbiamo andare. Un approccio di sistema, affrontando positivamente concetti e principi fondamentali.

Relatore: Monica Dossoni, Consulente su Privacy e GDPR, Privacy Officer e CEO di Dadadati

11:00-11:25

Backup e Business continuity a prova di GDPR. Una guida per affrontare la sfida del momento.

L’articolo 32 del GDPR ci fornisce alcune indicazioni su come devono essere protetti i dati e gli strumenti per il trattamento dei dati, ossia le applicazioni. O meglio dice che dobbiamo essere in grado di assicurare la disponibilità del dato e dei sistemi per il trattamento. Tuttavia non fornisce una checklist su come raggiungere questo risultato. Inoltre le aziende non possono sacrificare la propria produttività e il proprio budget sull’altare del GDPR. Una guida ragionata alla business continuity strizzando l’occhio alla compliance GDPR.

Relatore:  Claudio Panerai, CTO presso Achab

11:55-12:20

I ruoli delle varie figure: Titolare, Responsabile, sub-responsabile e Responsabile della Protezione dei dati. Requisiti formali e sostanziali 

Il GDPR ha previsto alcune nuove figure nell’organizzazione della protezione dei dati personali.

Le varie responsabilità e ruoli di questi soggetti sono stati in parte modificati e sono previsti una adempimenti formali per nominarli e requisiti di carattere sostanziale che questi soggetti devono possedere.

In questo intervento chiariremo come organizzare la gestione della protezione dei dati personali all’interno della struttura, le forme e le modalità con cui nominare i soggetti esterni, quando nominare un Responsabile per la protezione dei dati (DPO) e come operano le responsabilità di tutti questi soggetti.

Relatore: Avv. Massimiliano Nicotra, esperto di Privacy e GDPR

12:55-13:20

Rischio Data Breach: il fattore umano e le criticità trascurate 

Con la data del 25 Maggio, le sanzioni per la non conformità e gli obblighi imposti in occasione di un data breach possono mettere in ginocchio un’azienda. D’altra parte, la nuova normativa offre una straordinaria opportunità per rafforzare la sicurezza aziendale nel suo complesso. Processi, tecnologie e persone costituiscono i tre pilastri della Cyber Security, ma spesso le aziende si focalizzano principalmente sui primi due, mettendo il terzo in secondo piano.

L’intervento mira a sottolineare invece l’importanza del terzo fattore, quello umano, nella riuscita di un piano di sicurezza e protezione dei dati davvero efficace, illustrando alcune delle principali criticità che vedono coinvolte le persone e proponendo delle soluzioni pratiche che le rendano la più forte linea difensiva nella sicurezza e nella protezione dei dati.

Relatore:  Adriana Franca, Country Manager presso DigiTree

14:30-14:55

GDPR – I miti da sfatare e cosa è importante sapere

Il Regolamento Generale sulla Protezione dei Dati GDPR, che vedrà la sua applicazione a partire dal 25 maggio 2018, prevede una serie di obblighi nella gestione della sicurezza informatica e del trattamento dei dati, destando preoccupazione in tutte le aziende e facendo perdere il sonno ai responsabili IT.
Risulta necessario fare chiarezza su alcuni aspetti del regolamento, anche alla luce di “falsi miti” comparsi negli ultimi mesi che rischiano di creare una certa confusione.
Cercheremo quindi di sfatare questi miti e impareremo come adeguarci alla nuova direttiva europea senza farci prendere dal panico!

Relatore: Maurizio Taglioretti, Country Manager Sud Europa presso Netwrix Corporation

15:00-15:25

GDPR Pain Points

Il GDPR (2016/679 / UE) ha raccolto le differenti implementazione della privacy realizzate nei paesi della UE, le ha armonizzate e le ha riunite, creando una norma sostitutiva della ormai datata 95/46/EC. Il risultato è un insieme completo ed armonico non già di prescrizioni puntuali rivolte alla privacy, quanto di adempimenti finalizzati alla protezione dei dati, di vincoli alla loro gestione e di approcci di governo. In effetti, l’insieme delle organizzazioni da approntare, delle infrastrutture da porre in essere e delle operazioni da effettuare per assicurare la conformità al GDPR può essere molto complicato, tale da scoraggiarne l’adozione.  In passato si è assistito anche all’applicazione simultanea di diverse leggi nazionali relative alla privacy per una stessa infrazione compiuta da una azienda.

Per tali motivi, la commissione europea ha deciso di:

– promulgare il GDPR come Regolamento (cioè legge a tutti gli effetti, direttamente applicabile) e non come Direttiva (che richiede di essere recepita nazionalmente). Questo è il primo regolamento tra le norme europee appartenenti al Cyber Security Framework (derivanti, quindi dalla convenzione di Budapest del 2001 e volte alla realizzazione della Cyber Security Strategy)

– definire all’interno pesanti sanzioni amministrative: ammende con importi fino a 10/20 milioni di euro o al 2-4% del fatturato globale annuo, a seconda di quale sia il più alto

– inserire il principio di “responsabilizzazione” (Accountability), in base al quale i titolari del trattamento dovranno sempre assicurare il rispetto dei principi applicabili al trattamento dei dati personali

– istituire la figura del DPO (Responsabile della Protezione dei Dati) che coadiuva titolare e responsabile del trattamento Sebbene il GDPR sia di imminente entrata in vigore (25 maggio 2018), molte delle società (50+% secondo Gartner) che trattano dati dei cittadini UE non saranno ad esso conformi neanche a fine 2018.

Per facilitare, quindi, il raggiungimento della conformità risulta utile dividere i provvedimenti necessari in: strategici (urgenti) e tattici (importanti), in modo da assegnare la corretta priorità agli interventi da porre in essere.

Difatti, risulta prioritario quanto avente come finalità la realizzazione di: Registro dei Trattamenti, Analisi di Impatto, Piano di Adeguamento, Informative, Consensi, Incarichi

Relatore: Dr. Paolo Ottolino, IT Auditor & Security Professional, (ISC)² Chapter Italy

15:55-16:20

Valutazione di impatto: quando e come farla

Il GDPR prevede che per alcune tipologie di trattamenti venga effettuata da parte del Titolare una valutazione di impatto (DPIA). In questo intervento saranno forniti tutti gli strumenti per comprendere quando questa è obbligatoria e come poterla effettuare.

Relatore: Avv. Massimiliano Nicotra, esperto di Privacy e GDPR