Libri di Giancarlo Butti

Le attività di verifica ed audit, oltre a costituire un obbligo per i DPO, sono uno strumento di accountability per tutti i titolari e responsabili del trattamento. La normativa è particolarmente articolata e in continua evoluzione: i pochi requisiti di conformità definiti in modo puntuale (ad esempio, il contenuto obbligatorio dell'informativa) coesistono con i molti la cui valutazione è lasciata alla responsabilità del titolare (ad esempio, le misure di sicurezza). Il volume descrive dunque il processo di audit nel suo complesso: la stesura di un piano di audit, la definizione di una metodologia di descrizione delle non conformità, la loro valutazione secondo diverse metodologie (quali ad esempio i modelli di maturità), la stesura di un audit report e la relativa valutazione complessiva. Dopo una presentazione delle caratteristiche dell'attività di audit e dei relativi standard, il volume propone le metodologie pereffettuare un assessment iniziale utile a individuare le aree a maggiore rischio di non conformità e a definireil conseguente piano di audit. Vengono illustrate le metodologie di verifica dei requisiti di conformità attraverso check list precostituite, suggerimenti su come costruire check list personalizzate e altri strumenti utili nei documenti realizzati da enti, agenzie e autorità garanti, quali esempi di buone pratiche. Vengono descritti sia i punti di controllo di carattere generale, sia quelli specifici di ogni macro argomento trattato, ele varie figure coinvolte: chi può svolgere un'attività di verifica, le qualifiche che deve avere, le certificazioni esistenti per dimostrare le proprie competenze. In questa nuova edizione sono state introdotti importanti aggiornamenti, anche sulla base dei più recenti orientamenti interpretativi dell'EDPB, e un nuovo capitolo dedicato sia alla privacy by design sia alla valutazione della idoneità delle misure tecniche ed organizzative che il titolare ha messo in atto per fronteggiare i rischi, come previsto dagli artt. 24, 25 e 32 GDPR. Giancarlo Butti, BS 7799, ISO IEC 27001, CRISC, ISM, DPO, CBCI, AMBCI, Master in Gestione aziendale e Sviluppo Organizzativo presso il MIP Politecnico di Milano. Auditor, security manager ed esperto di privacy, è docente presso numerosi enti quali ABI, ISACA, CLUSIT, CETIF, ACFE... e diverse Università ed in Master e corsi di perfezionamento post universitari. Ha pubblicato oltre 800 articoli, 26 libri, 28 opere collettive quali il Rapporto CLUSIT; è socio di ISACA/AIEA, CLUSIT, DFA e BCI. Partecipa a numerosi gruppi di lavoro in materia di sicurezza e privacy ed è stato fra i coordinatori di www.europrivacy.info. Maria Roberta Perugini, avvocato, si occupa di protezione dei dati personali e di data governance dal 1995. È consulente di imprese e gruppi nazionali e internazionali operanti in svariati settori di mercato e svolge la funzione di DPO per diversi enti. Selezionata dallo European Data Protection Board (EDPB) quale membro del Support Pool of Experts, organizza e partecipa come relatrice e docente a convegni, master e corsi di specializzazione e perfezionamento post universitari di numerosi enti, associazioni, Università e istituzioni. Socia CLUSIT e DFA, è autrice di monografie e articoli su riviste divulgative e scientifiche. www.mrperugini.it

La normativa sulla protezione dei dati personali è particolarmente complessa e stratificata, composta da leggi europee, generali e speciali, e nazionali, completate e interpretate dalle indicazioni delle Autorità competenti, anch’esse sia unioniste sia nazionali, che costituiscono un vero e proprio “diritto vivente”. Molti sono ancora i dubbi interpretativi o le errate convinzioni, derivanti molto spesso dall’assenza di una reale conoscenza della normativa e delle sue implicazioni pratiche e giuridiche da parte di chi è tenuto ad attuarla: che differenza c’è fra analisi del rischio e DPIA, o fra diritto di accesso e portabilità dei dati? Come si fa a determinare correttamente i tempi di conservazione dei dati personali? Come si fa a dimostrare la conformità? In quali responsabilità può incorrere il DPO? Quali sono i soggetti tutelati dal GDPR e quali quelli tutelati dalla complessiva normativa privacy? Il libro cerca di rispondere a questi e altri quesiti fondamentali in modo semplice ma completo, accompagnando il lettore nella soluzione delle diverse problematiche con un costante riferimento ai testi normativi, a metodologie e modulistica “ufficiale” e a buone pratiche. Chiudono il testo un paio di casi che illustrano nella pratica la complessità di una normativa nella quale ogni scelta implementativa si ripercuote su molteplici adempimenti.

Il volume presenta in forma didattica e senza uso di formalismi matematici i principi del soft computing (logica fuzzy, reti neurali, algoritmi genetici), che sono i contenuti applicativi dell’intelligenza artificiale. Il libro, dedicato a un pubblico molto vasto fatto di imprenditori, professionisti, ricercatori, studenti, ha lo scopo di consentire al lettore di sviluppare egli stesso un sistema esperto (SE) neuro fuzzy. Dopo una doverosa presentazione degli aspetti teorici che stanno alla base di queste tecnologie, vengono analizzate le problematiche e il percorso che hanno portato allo sviluppo di una serie di sistemi esperti realizzati mediante l’ambiente neuro fuzzy FuzzyWorld. Dall’idea allo sviluppo di un’applicazione, vengono illustrati diversi esempi di sistemi esperti realmente operativi: SE per la diagnosi elettroforetica in uso al S. Raffaele di Milano, SE per la valutazione della preparazione atletica dei calciatori in uso presso squadre di serie A e B, SE per l’ambiente finanziario, SE per la pianificazione della produzione e gestione del magazzino. Completa il volume una descrizione dello sviluppo di un sistema esperto per l’analisi del rischio, tema molto caro alle aziende. In particolare viene presentato sia l’approccio tradizionale basato sull’uso di impostazione di regole, sia l’approccio DI-RO, che consente la creazione di un sistema esperto semplicemente fornendo a FuzzyWorld un foglio Excel nel quale siano rappresentati gli antecedenti e i conseguenti di qualunque problema.

Il nuovo Regolamento Europeo sulla privacy introduce importanti novità: nuovi diritti per gli interessati, nuovi adempimenti per le imprese, ma anche nuovi concetti quali il bilanciamento fra le misure messe in atto per la tutela dei dati personali ed i costi sostenuti da chi effettua i trattamenti. Si passa inoltre da un concetto di rispetto di una serie di adempimenti ad uno di responsabilità specifica sul come si è in grado di proteggere i dati personali trattati (dimostrandolo e documentandolo). È quindi necessario costruire una conformità su misura, che tiene conto delle specifiche caratteristiche di ogni singolo titolare. Non è quindi possibile avvalersi di modelli generali, ma è necessario disporre di strumenti rigorosi, ma flessibili, capaci di bilanciare adeguatamente costi e adempimenti, riutilizzando nel contempo quanto già realizzato per il rispetto dell'attuale normativa. Lo scopo di questo libro è quindi quello di fornire strumenti operativi che consentano di ottimizzare le attività di adeguamento e gli investimenti, rifacendosi a standard e framework consolidati, attuando nel contempo sinergie con la protezione di altri asset aziendali, quali know how, brand.

Le attività di verifica e audit, oltre a costituire un obbligo per i DPO, sono uno strumento di accountability per tutti i titolari e responsabili del trattamento. La normativa è particolarmente articolata, vasta, trasversale e in continua evoluzione: i pochi requisiti di conformità definiti in modo puntuale (ad esempio, il contenuto obbligatorio dell’informativa) coesistono con i molti la cui valutazione è lasciata alla responsabilità del titolare (ad esempio, le misure di sicurezza). Il volume descrive dunque il processo di audit nel suo complesso: la stesura di un piano di audit, la definizione di una metodologia di descrizione delle non conformità, la loro valutazione secondo diverse metodologie (quali ad esempio i modelli di maturità), la stesura di un audit report e la relativa valutazione complessiva. Dopo una presentazione delle caratteristiche dell’attività di audit e dei relativi standard e buone pratiche, il volume propone le metodologie per effettuare un assessment iniziale utile a individuare le aree a maggiore rischio di non conformità e a definire il conseguente piano di audit. Vengono proposte metodologie di verifica dei requisiti di conformità attraverso check list precostituite, suggerimenti su come costruire check list personalizzate e altri strumenti utili nei documenti realizzati da enti, agenzie e autorità garanti, quali esempi di buone pratiche. Vengono descritti sia i punti di controllo di carattere generale, sia quelli specifici di ogni macro argomento trattato. Un breve capitolo analizza le varie figure coinvolte: chi può svolgere un’attività di verifica, le qualifiche che deve avere, le certificazioni esistenti per dimostrare le proprie competenze.