Attività

La nostra missione consiste nel migliorare compliance privacy e sicurezza informativa nelle organizzazioni italiane. Per proteggere i dati personali, occorre adottare adeguate misure fisiche, logiche, organizzative e tecnologiche che – come benefico effetto collaterale – contribuiscono a migliorare la sicurezza delle infrastrutture informative, degli assets IT ed, in generale, di tutti i dati elaborati in ogni organizzazione. Quindi una reale ed effettiva data-protection, realizzata non al mero scopo di rispettare le regolamentazioni vigenti ed evitare sanzioni, ma per una superiore “resilienza” alle nuove minacce che si presentano, sempre in misura maggiore, ogni giorno, contro ogni organizzazione. Sicurezza, quindi, non solo quale prevenzione di una potenziale violazione dei dati (data breach), ma per tutelare le persone e – di conseguenza – la reputazione aziendale e la continuità operativa; per questo, occorrono regole, misure, controlli ma soprattutto strategie, valutazione e gestione costante del rischio.

Le attività principali.

Data Protection Officer DPO – Responsabile Protezione Dati RPD – siamo disponibili, per aziende ed organizzazioni motivate a raggiungere la compliance alla normativa di protezione dei dati personali, a svolgere il ruolo di RPD – DPO esterno; per tali ruoli abbiamo sottoscritto una specifica polizza a copertura Ruolo DPO presso una primaria compagnia assicurativa. Leggete il nostro approfondimento sulla figura del DPO: cosa fà ma soprattutto cosa non è.

General Data Protection Regulation GDPR Compliance Assessment – supporto in tutte le fasi di adeguamento alla Normativa Privacy e/o Regolamento Generale sulla Protezione dei Dati Personali EU 679/2016.

Definizione del Sistema di Gestione PrivacyDataProtection Modelsu misura per ogni specifica organizzazione, anche integrato con ISO27001 e modello 231/01.

D.P.I.A. Data Protection Impact Assessment – Valutazione d’Impatto sulla Protezione dei Dati – articolo 35 regolamento UE 2016/679 e valutazioni sulle tipologie di trattamenti soggetti.

Consulenza sul nuovo Regolamento DORA (Digital Operational Resilience Act) entrato in vigore dal 16 gennaio 2023, con piena applicazione dal prossimo 17 gennaio 2025; supporto alle definizione delle procedure di risk management, incident response; verifiche di resilienza delle infrastruttura informative, security assessment, penetration test.

Formazione Data Protection Officer (D.P.O.) G.D.P.R. 2016/679 – procedure per la selezione, nomina o formazione del nuovo ruolo di Responsabile della Protezione dei Dati, introdotto all’art. 37 G.D.P.R.

Formazione di incaricati, GDPR UE 679/2016 e D.Lgs. 196/03 novellato dal D.Lgs. 101/18 – formazione di “incaricati” – persone autorizzate al trattamento dei dati personali”; formazione di referenti privacy,

Stesura del Regolamento per il corretto utilizzo del sistema informativo aziendale su misura delle specifiche della organizzazione e predisposizione regole di compliance alla normativa vigente.

Consulenza e supporto nelle procedure di certificazione privacy delle organizzazioni agli schemi UNI PdR 43:2018 e ISDP©10003.

ISO 27000, supporto alla creazione ed adozione di un ISMS – Information Security Management System – Sistema di Gestione della Sicurezza delle Informazioni secondo lo standard ISO 2700x nelle organizzazioni, affiancamento consulenziale nelle procedure di certificazione dello schema ISO 27001.

Privacy Audit – attività di auditing di tutti i processi aziendali, dei trattamenti di dati e dei loro flussi, per valutare il grado di conformità alle normative cogenti, anche adottando le recenti Prassi di Riferimento UNI PdR 43:2018.

Ruoli di Valutatore Privacy – profilo UNI 11697:2017.

Privacy by Design & Privacy by Default – definizione di architetture, processi, sistemi, software Privacy-Designed e Privacy-Oriented.

Adeguamento e/o riprogettazione di architetture informative e/o procedure si trattamento in adeguamento alla misure indicate all’art. 32 G.D.P.R. (Pseudonimizzazione, Cifratura, Hardening, Backup & Restore, Verifiche & Assessments).

Assessment di sicurezza dei siti web, analisi del codice HTML, Javascript e PHP, valutazione dei cookies adottati nel sito, hardening di piattaforme CMS e dei plug.ins presenti; predisposizione informative dei siti web – privacy policy e cookie policy.

VideoSorveglianza e GeoLocalizzazione – Consulenza alle organizzazioni per tutti gli adempimenti relativi alla progettazione ed installazione a norma di sistemi di videosorveglianza e di geolocalizzazione di veicoli aziendali, anche normativi e di interlocuzione con le autorità e le direzioni provinciali del lavoro.

Cookie Law – Provvedimento dell’8 maggio 2014 – Autorità Garante per la protezione dei dati personali Italiano – normativa in materia di cookies sul web; cookies assessment (valutazione congruenza cookies alla informativa cookies) e pannello di controllo cookies.

Adeguamento WhistleBlowing – ruolo esterno di gestore whistleblowing o gestione della segnalazione whistleblowing; corsi di formazione per soggetti incaricati delle procedure aziendali WhistleBlowing.

Tutte le altre attività ad elevata competenza tecnologica ed informatica relative al settore Data Protection & IT sec, quali security assessments, penetration test, hardening perimetrali, computer forensic, cybersecurity, ecc. sono svolte dal nostro STUDIO ROSSI TEAM. Dal 2018 ci occupiano anche di gestire una violazione di dati personali o gestione del data breach; in tale ambito, abbiamo tutte le competenze necessarie ai vari task operativi, anche di computer, data & network forensic, di supporto legale e per le interlocuzioni con l’Autorità di Controllo (Garante Privacy).

Il TEAM di esperti del nostro STUDIO professionale, ha di recente sviluppato una metodologia proprietaria per valutare la resilienza di un qualsiasi web-server allo specifico attacco DDOS chiamato Slow HTTP attack, verso server Apache, NGINX , IIS ed altri.

Inoltre, per le attività di ASSISTENZA SICURA di dispositivi elettronici contenenti dati personali o che devono rimanere confidenziali o riservati, abbiamo delle collaborazioni con alcune aziende qualificate che hanno adottato un codice etico di azione; ulteriori informazioni a questa pagina. In parallelo, possono essere effettuate cancellazioni sicure (secure delete) di archivi elettronici e/o magnetici contententi dati da cancellare con procedure irreversibili, come richiesto dalla normativa di protezione prima della loro dismissione.