About Giancarlo Butti
Deals with ICT, organization and legislation since the early 80s covering different roles: security manager, project manager, auditor at banking groups, consultant in security and privacy to companies of different sectors and sizes.
Performs regular activity of dissemination through articles (over 700), books (21 between books and white papers also used as university texts, 11 collective works within the ABI LAB, Oracle Community for Security and CLUSIT), technical manuals, courses, seminars, conferences… participates in working groups to ABI LAB on Business Continuity, Risk and GDPR, ISACA-AIEA on GDPR and 263, Oracle Community for Security, UNINFO, ASSOGESTIONI and the Committee of experts for the innovation of OMAT360.
He is a member of the faculty of ABI Training. He is a partner and proboviro of ISACA-AIEA Member of CLUSIT and BCI. He is certified (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM, DPO, CBCI, AMBCI.
sacrosanto. sto seguendo un cliente che, guarda caso, rientra nei casi 1 e 4 citati qui sopra, essendo una sw house che lavora per una banca. il tema più rilevante che stiamo affrontando è proprio la gestione dei data breach. è pur vero che gli addetti della sw house agiscono direttamente su sistemi del cliente, per cui dovrebbe essere la banca stessa a definire ed applicare le misure di sicurezza nonché ad attivare alert e processi di gestione dei data breach. ma non può essere sottovalutato il ruolo del fornitore, ovviamente nominato responsabile. con il GDPR sarà tenuto ad informare tempestivamente il titolare (per sua fortuna solo il titolare, quindi non sarà tenuto a preoccuparsi di chi siano gli interessati) e per poterlo fare dovrà dotarsi di adeguati meccanismi di controllo, altrimenti come farà ad accorgersi di una violazione?
A proposito degli interessati “clienti” il Regolamento è chiaro, il “considerando 14” recita:
“È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto.”