La protezione dei dati e la gestione del rischio nella pubblica amministrazione
Un approccio unificato nel contesto del GDPR e del framework europeo di sicurezza cibernetica
| Pagine | 754 |
| Data pubblicazione | Luglio 2019 |
| Data ristampa | |
| Autori | Francesco Ciclosi |
| ISBN | 8891636249 |
| ean | 9788891636249 |
| Tipo | Cartaceo |
| Sottotitolo | Un approccio unificato nel contesto del GDPR e del framework europeo di sicurezza cibernetica |
| Collana | Privacy |
| Editore | Maggioli Editore |
- Spedizione in 48h
- Paga alla consegna senza costi aggiuntivi
| Pagine | 754 |
| Data pubblicazione | Luglio 2019 |
| Data ristampa | |
| Autori | Francesco Ciclosi |
| ISBN | 8891636249 |
| ean | 9788891636249 |
| Tipo | Cartaceo |
| Sottotitolo | Un approccio unificato nel contesto del GDPR e del framework europeo di sicurezza cibernetica |
| Collana | Privacy |
| Editore | Maggioli Editore |
L’innovazione conseguita attraverso la digitalizzazione dei documenti e la dematerializzazione dei processi, fortemente voluta dal legislatore italiano e da quello europeo, pone a tutte le organizzazioni, pubbliche e private, due ordini di problemi: assicurare la sicurezza informatica dei sistemi e garantire la protezione dei dati personali presenti nei contenuti digitali. Numerose sono le disposizioni di legge, le specifiche tecniche e le raccomandazioni emanate dall’Agenzia per l’Italia Digitale (AgID) e dal Garante della Privacy per conseguire questi due obiettivi che, a ben vedere, sono strettamente correlati: non si possono proteggere i dati personali gestiti in un ambiente tecnologicamente insicuro.
Il volume approfondisce sia le tematiche della sicurezza cibernetica, analizzando le misure minime, le linee guida e la strategia descritta nel Piano triennale per l’informatica nella pubblica amministrazione 2019-2021, sia la normativa vigente in materia di protezione dei dati personali, fornendo indicazioni concrete sui metodi e gli strumenti per il risk management e l’applicazione del GDPR agli archivi di interesse culturale-storico.
Nel suo complesso, l’opera si caratterizza per completezza ed elevato livello di approfondimento, per la capacità dell’autore di fornire una visione integrata delle problematiche inerenti alla sicurezza informatica e alla protezione dei dati personali.
FRANCESCO CICLOSI
è professore a contratto di Informatica presso l’Università degli Studi di Macerata e docente di Sicurezza Informatica nel Master universitario di II livello in “Formazione, gestione e conservazione di archivi digitali in ambito pubblico e privato (FGCAD)”. La sua attività di ricerca è principalmente focalizzata sulle tematiche inerenti alla protezione dei dati, alla gestione del rischio e all’evoluzione dei sistemi di gestione della sicurezza delle informazioni.
STEFANO PIGLIAPOCO
è professore ordinario di Informatica documentale presso il Dipartimento di Studi Umanistici dell’Università di Macerata e Direttore del Master universitario di II livello in “Formazione, gestione e conservazione di archivi digitali in ambito pubblico e privato (FGCAD)”. La sua attività di ricerca è principalmente focalizzata sulle tematiche inerenti alla gestione informatica dei documenti e dei processi, all’archivistica informatica e alla conservazione digitale.
AGGIORNAMENTO ONLINE
L’acquisto del volume include la possibilità di accedere al sito www.maggiolieditore.it/approfondimenti dove, fino al 31 dicembre 2019, saranno pubblicate note di aggiornamento relative al contesto normativo-tecnologico.
Le indicazioni per effettuare l’accesso sono contenute nel cartoncino in fondo al volume.
Aggiornato a:
› Nuovo Piano Triennale per l’Informatica nella PA
› Nuove Linee Guida AgID per la Sicurezza nella PA
Prefazione (di Stefano Pigliapoco)
Introduzione
Alcuni aspetti preliminari
Dalla sicurezza delle informazioni alla sicurezza cibernetica nell’era iperstorica
1) La sicurezza delle informazioni
2) La sicurezza delle tecnologie dell’informazione e della comunicazione
3) La sicurezza cibernetica
4) La differenza tra la sicurezza delle informazioni e la sicurezza delle ICT
5) La differenza tra la sicurezza cibernetica e la sicurezza delle informazioni
6) L’era iperstorica
Parte Prima LA NORMATIVA EUROPEA E ITALIANA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
1. La legislazione europea
1.1 L’evoluzione normativa dalla Data Protection Directive al General Data Protection Regulation
1.1.1 La base giuridica del Regolamento 2016/679
1.1.2 Il rapporto tra la Direttiva 95/46/CE e il nuovo Regolamento (UE) 2016/679
1.1.3 Dal Gruppo articolo 29 al Comitato europeo per la protezione dei dati
1.2 Il Regolamento (UE) 2016/679 e il SEE
1.3 Oggetto, finalità e ambito di applicazione del GDPR
1.3.1 L’oggetto e la finalità
1.3.2 L’ambito di applicazione materiale
1.3.3 L’ambito di applicazione territoriale
1.4 Il concetto di dato personale secondo il GDPR
1.4.1 Analisi della definizione di dato personale
1.4.1.1 Il primo elemento: qualsiasi informazione
1.4.1.2 Il secondo elemento: concernente
1.4.1.3 Il terzo elemento: persona fisica
1.4.1.4 Il quarto elemento: identificata o identificabile
1.4.2 Le differenti tipologie di dato personale
1.4.2.1 I dati personali relativi alle condanne penali e ai reati
1.4.2.2 Dati personali e specifici trattamenti
effettuati da Organi costituzionali della
Repubblica Italiana
1.4.3 Dati personali e big data
1.4.4 Dati personali e open data
1.5 L’attività di processing del dato personale
1.6 I ruoli previsti dal GDPR e le responsabilità sottese
1.6.1 Il titolare del trattamento
1.6.1.1 Le responsabilità del titolare del trattamento
1.6.2 Il responsabile del trattamento
1.6.2.1 Le responsabilità del responsabile del trattamento
1.6.3 Il sub-responsabile del trattamento
1.6.4 L’incaricato del trattamento
1.7 I diritti degli interessati
1.7.1 Informazione
1.7.2 Accesso
1.7.3 Rettifica
1.7.4 Cancellazione e diritto all’oblio
1.7.5 Portabilità
1.7.6 Opposizione
1.7.7 Profilazione e strumenti di decisione automatica
1.7.8 Diritti riguardanti le persone decedute
1.8 Il trasferimento dei dati fuori dall’UE
1.8.1 Il trasferimento sulla base di una decisione di adeguatezza
1.8.2 Il trasferimento soggetto a garanzie adeguate
1.8.3 Le norme vincolanti d’impresa
1.8.4 Il trasferimento in base a deroghe in specifiche situazioni
1.8.5 Il trasferimento dei dati personali fuori dall’UE e i CSP
1.9 Il Garante europeo della protezione dei dati
1.10 Il Gruppo di lavoro ex articolo 29
1.11 Il Comitato europeo per la protezione dei dati
1.11.1 La continuità dell’azione svolta dal Gruppo di lavoro articolo 29
1.12 L’autorità di controllo italiana
1.12.1 I compiti e i poteri del Garante
1.12.1.1 I compiti del Garante
1.12.1.2 I poteri del Garante
1.12.2 La struttura del Garante
2. I principi di protezione del dato nel GDPR
2.1 I principi di liceità, correttezza e trasparenza
2.1.1 Il principio di liceità
2.1.1.1 Primo fondamento: l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità
2.1.1.2 Secondo fondamento: necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso
2.1.1.3 Terzo fondamento: necessario per adempiere un obbligo legale al quale è soggetto il titolare
2.1.1.4 Quarto fondamento: necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica
2.1.1.5 Quinto fondamento: necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare
2.1.1.6 Sesto fondamento: necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi
2.1.2 Il principio di correttezza
2.1.3 Il principio di trasparenza
2.2 Il principio di limitazione delle finalità
2.3 Il principio di minimizzazione dei dati
2.4 Il principio di esattezza
2.5 Il principio di limitazione della conservazione
2.6 I principi d’integrità e di riservatezza
3. Gestione del dato e responsabilizzazione nel GDPR
3.1 Protezione dei dati fin dalla progettazione
3.2 Protezione dei dati per impostazione predefinita
3.3 I registri delle attività di trattamento
3.4 La DPIA
3.4.1 L’oggetto delle DPIA
3.4.2 I trattamenti soggetti a DPIA
3.4.3 I trattamenti non soggetti a DPIA
3.4.4 Le modalità di effettuazione della DPIA
3.4.5 L’eventuale consulto dell’autorità di controllo
3.5 La figura del DPO
3.5.1 La nomina
3.5.2 Le conoscenze e le competenze
3.5.3 La posizione
3.5.4 I compiti
3.6 Gli obblighi di notifica e di comunicazione in caso di violazione dei dati personali
3.7 Responsabilità e sanzioni del titolare e del responsabile del trattamento
3.7.1 Le ulteriori sanzioni amministrative dell’ordinamento italiano
3.7.2 Le sanzioni penali dell’ordinamento italiano
3.8 I Codici di condotta
3.8.1 Il controllo dei Codici di condotta approvati
3.9 La certificazione
3.9.1 Gli organismi di certificazione
3.9.2 Le linee guida sull’accreditamento degli organismi di certificazione
3.10 Le forme di tutela degli interessati
3.10.1 La tutela amministrativa
3.10.2 La tutela giuridizionale
3.11 Le Regole deontologiche
Parte Seconda LA PROTEZIONE DEI DATI PERSONALI NELLA GESTIONE E NELLA CONSERVAZIONE DEGLI ARCHIVI
4. Impatto della nuova normativa in materia di protezione dei dati personali sulla gestione e conservazione degli archivi
Parte Terza LA NORMATIVA EUROPEA E ITALIANA IN MATERIA DI SICUREZZA
5. I requisiti di sicurezza oltre il Regolamento (UE) 2016/679
5.1 I requisiti di sicurezza del Regolamento (UE) 2016/679
5.2 I requisiti di sicurezza della NIS Directive
5.2.1 Gli operatori di servizi essenziali
5.2.2 I fornitori di servizi digitali
5.2.3 La strategia nazionale in materia di sicurezza della rete e dei sistemi informativi
5.2.4 Sicurezza della rete e dei sistemi informativi degli operatori di servizi essenziali
5.2.5 Sicurezza della rete e dei sistemi informativi dei fornitori di servizi digitali
5.2.5.1 La giurisdizione dei fornitori di servizi digitali
5.2.5.2 Misure di sicurezza nei servizi di cloud computing nella Repubblica Italiana
5.2.6 Gli obblighi di notifica tra la Direttiva (UE) 2016/1148 e il Regolamento (UE) 2016/679
5.2.7 La segnalazione degli incidenti NIS nella Repubblica Italiana
5.3 I requisiti di sicurezza nella normativa italiana
5.3.1 Decreto legislativo 1° agosto 2003, n. 259
5.3.2 La Legge 3 agosto 2007, n. 124
5.3.3 DPCM 24 gennaio 2013
5.3.4 Quadro strategico nazionale per la sicurezza dello spazio cibernetico - Dicembre 2013
5.3.4.1 I profili e le tendenze evolutive delle minacce e delle vulnerabilità
5.3.4.2 Gli strumenti e le procedure per il potenziamento delle capacità cibernetiche
5.3.5 Piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali - Dicembre 2013
5.3.6 DPCM 1° agosto 2015
5.3.7 Misure minime di sicurezza ICT per le Pubbliche Amministrazioni del 26 aprile 2016
5.3.7.1 La contestualizzazione delle Misure minime
5.3.7.2 Analisi delle singole famiglie di controlli ABSC
5.3.8 Circolare AgID n. 2/2017 del 18 aprile 2017
5.3.9 Dalle Misure minime ICT per la PA alle Linee guida per la sicurezza nella PA
5.3.10 DPCM 17 febbraio 2017
5.3.10.1 Il livello politico e di indirizzo
5.3.10.2 Il livello di supporto operativo
5.3.10.3 Il livello tattico e gestione di crisi
5.3.11 Piano nazionale per la protezione cibernetica e la sicurezza informativa - Marzo 2017
5.3.12 Decreto legislativo 18 maggio 2018, n. 65
5.3.13 Decreto legislativo 10 agosto 2018, n. 101
Parte Quarta METODICHE, TECNICHE E STRUMENTI PER LA PROTEZIONE DEI DATI PERSONALI, E PER LA GESTIONE DEI RISCHI CONNESSI
6. Le tecniche di protezione dei dati personali
6.1 I concetti di data, big data e data analytics
6.1.1 La ripartizione delle responsabilità
6.2 La natura dell’anonimizzazione e della pseudonimizzazione
6.3 Il problema della re-identificazione
6.4 Le tecniche di pseudonimizzazione del dato
6.5 Le tecniche di anonimizzazione del dato
6.5.1 La randomizzazione
6.5.2 La generalizzazione
6.6 Descrizione analitica delle principali tecniche di anonimizzazione del dato
6.6.1 k-anonymity
6.6.1.1 La gerarchia di generalizzazione di domini
6.6.1.2 La gerarchia di generalizzazione di valori
6.6.1.3 La soppressione di tuple
6.6.1.4 La minimalità della soluzione
6.6.1.5 Classificazione delle tecniche per k-anonymity
6.6.1.6 Gli algoritmi per i modelli AG_TS e AG_
6.6.1.6.1 Un approccio naive
6.6.1.6.2 Un approccio “naive ottimizzato”
6.6.1.6.3 L’algoritmo Samarati
6.6.1.7 Gli algoritmi per i modelli _CS e CG_
6.6.1.8 L’algoritmo multidimensionale Mondrian
6.6.1.9 k-anonymity rivisitato
6.6.2 l-diversity
6.6.3 t-closeness
6.6.4 Un esempio di applicazione di k-anonymity
6.6.5 Un esempio di utilizzo dei differenti modelli di k-anonymity
6.7 L’utilizzo delle tecniche di protezione del dato per limitare l’applicabilità totale o parziale del GDPR
6.8 L’utilizzo delle tecniche di protezione del dato per evitare l’applicabilità di specifici obblighi nella protezione dei
dati
6.8.1 Notifica all’Autorità di controllo
6.8.2 Comunicazione all’interessato
6.9 L’utilizzo delle tecniche di protezione del dato come mezzi per ottemperare ai dettami del GDPR
6.9.1 Per ottemperare al principio di responsabilizzazione
6.9.2 Per ottemperare alle misure di sicurezza
6.9.3 Per ottemperare alla limitazione delle finalità
6.9.4 Per ottemperare alla limitazione della conservazione
6.10 I diversi tipi di approccio alla protezione del dato
6.10.1 Gli elementi di contesto
6.10.2 Gli elementi tecnici di corredo
7. Dall’individuazione del concetto di rischio alla sua gestione
7.1 Il concetto di rischio
7.2 Gli standard per la risk management
7.2.1 ISO 31000:2009
7.2.1.1 I principi di gestione del rischio
7.2.1.2 Il framework di gestione del rischio
7.2.1.3 Il processo di gestione del rischio
7.2.2 ISO 31000:2018
7.2.3 IEC 31010:2009
7.2.3.1 La comparazione tra le varie tecniche di valutazione del rischio
7.3 I metodi quantitativi e qualitativi di valutazione del rischio
7.3.1 Alcuni metodi qualitativi
7.3.2 Alcune criticità nei metodi qualitativi
7.3.2.1 Primo esempio
7.3.2.2 Secondo esempio
7.3.2.3 Terzo esempio
7.3.2.4 Quarto esempio
7.3.2.5 Le curve iso-risk
7.3.2.6 Una possibile soluzione al problema
8. Strumenti, metriche e metodologie per la gestione del rischio
8.1 Le metodologie per la valutazione e gestione del rischio
8.1.1 Il modello adottato dall’ENISA
8.1.2 Magerit
8.1.3 Cramm
8.1.4 Ebios
8.2 Gli strumenti per la valutazione del rischio
8.2.1 Pilar
8.3 Le metriche per la valutazione del rischio
8.3.1 CVSS
8.3.1.1 La Base Metric
9. Il Sistema di Gestione della Sicurezza delle Informazioni
9.1 Lo standard ISO/IEC 27000:2018
9.2 Lo standard ISO/IEC 27001:2013
9.2.1 L’Allegato A
9.3 Oltre lo standard ISO/IEC 27001:2013
9.4 Lo standard ISO/IEC 27002:2013
9.5 Le principali differenze tra la ISO/IEC 27001:2013 e la ISO/IEC 27032:2012
Parte Quinta CASI DI STUDIO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
10. Strumenti di supporto per la conformità al GDPR
10.1 Definizione dei diagrammi delle attività
10.1.1 Definizione del diagramma delle attività della struttura di un sondaggio
10.1.2 Definizione del diagramma delle attività del questionario di autovalutazione
10.1.3 Definizione del diagramma delle attività delle singole sezioni del questionario di autovalutazione
10.1.3.1 Diagramma delle attività della sezione 1
10.1.3.2 Diagramma delle attività della sezione 2
10.1.3.3 Diagramma delle attività della sezione 3
10.1.3.4 Diagramma delle attività della sezione 4
10.1.3.5 Diagramma delle attività della sezione 5
10.1.3.6 Diagramma delle attività della sezione 6
10.1.3.7 Diagramma delle attività della sezione 7
10.1.3.8 Diagramma delle attività della sezione 8
10.1.3.9 Diagramma delle attività della sezione 9
10.1.3.10 Diagramma delle attività della sezione 10
10.1.3.11 Diagramma delle attività della sezione 11
10.1.3.12 Diagramma delle attività della sezione 12
10.1.3.13 Diagramma delle attività della sezione 13
10.1.3.14 Diagramma delle attività della sezione 14
10.1.3.15 Diagramma delle attività della sezione 15
10.2 Definizione dell’applicazione web
10.2.1 Individuazione della libreria
10.2.2 Definizione della struttura JSON
10.2.3 Definizione dei controlli da implementare tramite codice
10.2.4 Visualizzazione del risultato finale
10.3 Il contenuto informativo e il codice
10.3.1 Elenco delle sezioni
10.3.2 Dettaglio delle domande e delle risposte di ogni sezione
10.3.3 Elenco delle etichette presenti nel questionario
11. Un caso di studio in ambito universitario
11.1 Definizione dello scenario
11.2 Il nuovo quadro normativo italiano ed europeo in materia di sicurezza cibernetica
11.3 Le misure minime ICT per la Pubblica Amministrazione
11.3.1 La contestualizzazione delle misure minime ICT nel mondo accademico
11.4 Lo Standard ISO/IEC 27001:2013
11.5 La certificazione ISO/IEC 27001:2013 dell’Università di Camerino
11.6 Il Regolamento (UE) 2016/679 e le linee guida del CODAU
11.7 Il Gruppo di lavoro Unicam per le Misure minime ICT
11.8 L’integrazione tra il Sistema di gestione della sicurezza dell’informazione e le Misure minime ICT
11.8.1 La procedura tecnica di log management
11.8.1.1 Richiami interni al Sistema di gestione delle informazioni
11.8.2 La procedura tecnica di gestione dell’inventario dei dispositivi attaccati alla rete
11.8.2.1 Modalità di esecuzione
11.8.2.2 Richiami interni al Sistema di gestione delle informazioni
11.9 L’approccio unificato di Unicam all’analisi e alla gestione del rischio
11.10 La modifica dell’ambito di applicazione
11.11 Conclusioni
Appendice
1) Schema di atto di designazione del Responsabile della Protezione dei Dati (RPD) ai sensi dell’art. 37 del Regolamento UE 2016/679
2) Comunicazione dei dati di contatto del Responsabile della Protezione dei Dati – RPD (art. 37, par. 7 del Regolamento (UE) 2016/679 – RGPD e art. 28, c. 4 del D.lgs. 51/2018)
3) Reclamo ex art. 77 del Regolamento (UE) 2016/679 e artt. da 140-bis a 143 del Codice in materia di protezione dei
dati personali
4) Modello di segnalazione di un incidente al CSIRT Italia
Bibliografia
-
Come essere in regola con il registro delle attività di trattamento dei dati personali - e-Book in pdfSpecial Price 12,67 €SCONTO 15%15%Anzichè 14,90 €
