la guida completa

Data breach nel GDPR: cos’è e come fare segnalazione e prevenzione

HomeSicurezza digitale
Indirizzo copiato

Cosa si intende per data breach ex articoli 33 e 34 del regolamento Gdpr. Come fare la segnalazione. Come prevenire il data breach, quali modelli di sicurezza sono più efficaci. E le casistiche principali

Pubblicato il 6 giu 2023
Antonio Guzzo

Funzionario Informatico INAPP, in comando presso Agenzia delle Entrate Regione Basilicata

cyber_228287809

Il Gdpr è in vigore ormai da 5 anni e l’obbligo di segnalazione data breach entro 72 ore è l’obbligo ritenuto più gravoso dalle aziende italiane. Vediamo cosa sapere per un corretto adeguamento, alla luce anche delle linee guida dello European Data Protection Board del gennaio 2021 e del settembre 2022.

Linee Guida EDPB su “data breach”: cosa cambia con la versione 2.0

Cos’è il data breach nel Gdpr

Per Data Breach, nella versione italiana violazione dei dati personali si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Sempre secondo il GDPR, la notifica di eventuali violazioni di dati dovrà avvenire possibilmente senza ingiustificato ritardo e, ove possibile, entro 72 ore, dal momento in cui si è venuto a conoscenza della violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. L’eventuale ritardo dovrà essere motivato.

Il Gdpr ha previsto l’obbligo di segnalazione Data Breach entro 72 ore è questo risulta essere l’obbligo più gravoso, secondo le aziende italiane, in un recente sondaggio di Idc. Con il Regolamento UE n° 2016/679 la notificazione preventiva viene abolita e sostituita da nuovi obblighi di tenuta di un registro dei trattamenti e dei Data Breach, nonché dal dovere di notificazione delle violazioni di dati personali (Data Breach Notification).

Inoltre nel 2018 è intervenuto il Gruppo di lavoro Working Party 29 con un’opinione contenente; delle importanti linee guida che hanno distinto in tre macro-categorie il Data Breach:

  • “Confidentiality Breach”, quando vi è un accesso accidentale o abusivo a dati personali:
  • “Availability Breach”, quando vi è una perdita o distruzione accidentale o non autorizzata dei Dato personale;
  • “Integrity Breach”, quando vi è un’alterazione accidentale o non autorizzata del dato personale.

Le Linee Guida dell’European Data Protection Board (EDB) del 14-01-2021

Il General Data Protection Regulation introduce l’obbligo di notificare una violazione dei dati personali all’autorità di controllo nazionale competente (di seguito “SA- Security Authority” in Italia la Data Protection Authority – Autorità Garante sulla Privacy) e, in alcuni casi, di comunicare la violazione alle persone i cui dati personali sono stati interessati dalla violazione (Articoli 33 e 34). Il Gruppo di lavoro articolo 29 (WP29 Working Party 29) ha già prodotto una guida generale sulla notifica di violazione dei dati nell’ottobre 2017, analizzando le sezioni pertinenti del GDPR (Linee guida sulla notifica di violazione dei dati personali ai sensi del regolamento 2016/679, WP 250) (di seguito “Linee guida WP250). Tuttavia, a causa della sua natura e tempistica, questa documentazione non ha affrontato, in maniera esaustiva e completa, tutte le casistiche pratiche in modo sufficientemente dettagliato. Pertanto, è sorta la necessità di redigere delle linee guida orientata alla pratica e basata sui casi che utilizzi le esperienze acquisite dalle autorità di vigilanza poiché il GDPR è applicabile.

Queste nuove linee guida adottate nel mese di Gennaio 2021 dall’EDPB, intendono integrare le Linee guida WP 250 e riflettere le esperienze comuni delle SAs (Security Authority) dello EEA (EEA Member States) da quando il GDPR è diventato applicabile. Il suo scopo è quello di aiutare i responsabili del trattamento dei dati a decidere come gestire le violazioni dei dati e quali fattori considerare durante la valutazione del rischio.

Nell’ambito di qualsiasi tentativo di porre rimedio a una violazione di dati (Data Breach), il titolare del trattamento dovrebbe prima essere in grado di riconoscerla. Il GDPR definisce una “violazione dei dati personali” nell’articolo 4 (12) come “una violazione della sicurezza che porta alla distruzione, perdita, alterazione accidentale o illegale, divulgazione non autorizzata o accesso ai dati personali trasmessi, archiviati o altrimenti elaborati”

Nel suo parere 03/2014 sulla notifica delle violazioni e nelle sue linee guida WP 250, il WP29 ha spiegato che le violazioni possono essere classificate in base ai seguenti tre noti principi di sicurezza delle informazioni:

• “Violazione della riservatezza” – in caso di divulgazione non autorizzata o accidentale di o accesso a dati personali.

• “Violazione dell’integrità” – in caso di alterazione non autorizzata o accidentale dei dati personali.

• “Violazione della disponibilità”: in caso di perdita accidentale o non autorizzata dell’accesso o distruzione dei dati personali.

Una violazione può potenzialmente avere una serie di effetti negativi significativi sulle persone, che possono provocare danni fisici, materiali o immateriali. Il GDPR spiega che ciò può includere perdita di controllo sui propri dati personali, limitazione dei loro diritti, discriminazione, furto di identità o frode, perdita finanziaria, annullamento non autorizzato della pseudonimizzazione, danno alla reputazione (brand reputation) e perdita di riservatezza dei dati personali protetti dal segreto professionale. Può anche includere qualsiasi altro svantaggio economico o sociale significativo per tali individui. Uno degli obblighi più importanti del responsabile del trattamento dei dati è valutare questi rischi per i diritti e le libertà degli interessati e attuare misure tecniche e organizzative adeguate per affrontarli. Di conseguenza, il GDPR richiede al titolare del trattamento di:

  • documentare eventuali violazioni dei dati personali, compresi i fatti relativi alla violazione dei dati personali, i suoi effetti e le azioni correttive intraprese (Articolo 33 GDPR);
  • notificare la violazione dei dati personali all’autorità di controllo, a meno che non sia improbabile che la violazione dei dati comporti un rischio per i diritti e le libertà delle persone fisiche (Articolo 33 GDPR);
  • comunicare la violazione dei dati personali all’interessato quando è probabile che la violazione dei dati personali comporti un rischio elevato per i diritti e le libertà delle persone fisiche.

Le violazioni dei dati sono problemi in sé e per sé, ma sono anche sintomi di un regime di sicurezza dei dati vulnerabile, forse obsoleto, quindi indicano debolezze del sistema da affrontare. In generale, è sempre meglio prevenire le violazioni dei dati preparandosi in anticipo, poiché diverse conseguenze sono per natura irreversibili. Prima che un titolare del trattamento possa valutare completamente il rischio derivante da una violazione causata da una qualche forma di attacco, è necessario identificare la causa principale del problema, al fine di identificare se eventuali vulnerabilità che hanno dato origine all’incidente sono ancora presenti e lo sono ancora sfruttabile. In molti casi il responsabile del trattamento è in grado di identificare che l’incidente potrebbe comportare un rischio e deve quindi essere informato. In altri casi non è necessario posticipare la notifica fino a quando il rischio e l’impatto che circondano la violazione non sono stati completamente valutati, poiché la valutazione completa del rischio può avvenire parallelamente alla notifica e le informazioni così ottenute possono essere fornite all’autorità di vigilanza in fasi senza indebito ulteriore ritardo. (Articolo 34 GDPR)

La violazione dovrebbe essere notificata quando il responsabile del trattamento ritiene che possa comportare un rischio per i diritti e le libertà dell’interessato. I titolari del trattamento dovrebbero effettuare questa valutazione nel momento in cui vengono a conoscenza della violazione. Il responsabile del trattamento non dovrebbe attendere un esame forense dettagliato e le (prime) fasi di mitigazione prima di valutare se la violazione dei dati possa o meno comportare un rischio e quindi dovrebbe essere informato.

Se un controllore effettua un’autovalutazione del rischio come improbabile, ma risulta che il rischio si concretizza, la SA competente può utilizzare i suoi poteri correttivi e può decidere di sanzionare.

Ogni titolare del trattamento dovrebbe disporre di piani e procedure per la gestione di eventuali violazioni dei dati. Le organizzazioni dovrebbero avere chiare linee di riporto e persone responsabili di alcuni aspetti del processo di recupero.

La formazione e la consapevolezza sulle questioni relative alla protezione dei dati da parte del personale del responsabile del trattamento, concentrandosi sulla gestione della violazione dei dati personali (identificazione di un incidente di violazione dei dati personali e ulteriori azioni da intraprendere, ecc.) Sono essenziali per i responsabili del trattamento. Questa formazione dovrebbe essere ripetuta regolarmente, a seconda del tipo di attività di elaborazione e delle dimensioni del titolare del trattamento, affrontando le ultime tendenze e gli avvisi provenienti da attacchi informatici o altri incidenti di sicurezza. Il principio di responsabilità (accountability) e il concetto di protezione dei dati fin dalla progettazione (privacy by design) potrebbero incorporare analisi che alimentano il “Manuale sul trattamento della violazione dei dati personali” del titolare del trattamento che mira a stabilire fatti per ogni aspetto del trattamento in ciascuna fase principale dell’operazione. Un manuale di questo tipo preparato in anticipo fornirebbe una fonte di informazioni molto più rapida per consentire ai responsabili del trattamento di mitigare i rischi e adempiere agli obblighi senza indebiti ritardi. Ciò garantirebbe che, se si dovesse verificare una violazione dei dati personali, le persone nell’organizzazione saprebbero cosa fare e l’incidente sarebbe molto probabilmente gestito più rapidamente che se non ci fossero mitigazioni o piani in atto.

Queste linee guida strutturano i casi in base a determinate categorie di violazioni (ad es. Attacchi ransomware). In ogni caso, quando si tratta di una determinata categoria di violazioni, sono necessarie determinate misure di mitigazione. Queste misure non sono necessariamente ripetute in ogni caso di analisi appartenente alla stessa categoria di violazioni. Per i casi appartenenti alla stessa categoria sono previste solo le differenze.

La documentazione interna di una violazione è un obbligo indipendente dai rischi relativi alla violazione e deve essere eseguita in ogni caso. I casi presentati di seguito cercano di far luce sull’opportunità di notificare o meno la violazione alla SA e di comunicarla agli interessati

Le nuove Linee Guida EDBP

L’European Data Protection Board ha adottato in data 28-03-2023, dopo una fase di consultazione pubblica partita a settembre 2022 (09/2022), la versione 2.0 delle linee guida riguardanti gli obblighi di notifica delle violazioni dei dati personali L’aggiornamento è indirizzato in maniera esclusiva a titolari del trattamento che hanno un rappresentante all’interno di uno dei Paesi dell’Unione, rientrando nell’ambito di applicazione del GDPR – e dunque: sono soggetti destinatari degli obblighi – in forza del criterio di targeting del trattamento. Difatti, sono obbligati a nominare un rappresentante i titolari stabiliti in un paese terzo che svolgono però attività che coinvolgono intenzionalmente i dati personali di interessati che si trovano all’interno del territorio dell’Unione per l’offerta di beni e servizi o altrimenti per il monitoraggio dei comportamenti (nella misura in cui tali comportamenti avvengono all’interno del territorio dell’Unione).

Infatti per questi soggetti viene espressamente esclusa l’applicazione del principio di one-stop-shop ovverossia dell’individuazione dell’autorità di controllo capofila di cui ha sede lo stabilimento principale dell’azienda, andando a conformarsi con quanto già disposto all’interno delle linee guida WP244 e EDPB 3/2018 secondo una lettura coerente e sistematica. Infatti, nella versione previgente era individuata come autorità di controllo capofila cui notificare la violazione di dati personali quella del Paese presso cui risiedeva il rappresentante legale. Adesso, la notifica dovrà invece avvenire in modo granulare nei confronti di ciascuna delle autorità di controllo di riferimento (DPA- Data Protection Authority) per gli interessati coinvolti.

Questo aggiramento dell’obbligo di cui all’art. 33 GDPR in capo al titolare del trattamento impone quinid la capacità tecnica dello stesso di essere in grado di distinguere già nell’immediato dell’analisi dell’incidente – e dunque entro le 72 ore prescritte dalla norma – un criterio di riferibilità territoriale dei dati personali raccolti e trattati.

Questo pero generà delle criticità evidenti cosi riassumibili

  • in primo luogo sulle modalità di progettazione dei database, nonché presta il fianco a numerosi interrogativi circa le corrette modalità di acquisizione delle informazioni che dovranno essere implementate per poter svolgere tali adempimenti.
  • Inoltre tale disposizione normativa comporterà l’aumento quasi inevitabile dei costi operativi soprattutto per l’ambito dell’erogazione dei servizi online, nonché farà sorgere alcune perplessità circa la sostenibilità degli stessi a fronte dell’effettività di tutela e protezione degli interessati cui dovrebbe provvedere tale adempimento.

L’obbligo di notifica

A tale proposito, è stato introdotto dall’articolo 33, l’obbligo generalizzato, in capo al titolare del trattamento di notifica di data breach all’autorità di controllo (DPO) competente a norma dell’art. 55 GDPR e ss., ovvero l’Autorità di controllo dello stabilimento principale o dello stabilimento unico del Titolare interessato dalla violazione o quello ove vi siano gli interessati alla violazione. Le informazioni minime da inserire nella notifica sono incluse nell’art. 33, la DPA competente fornirà una modulistica on line richiedendo informazioni obbligatorie. Tale documentazione consente all’Autorità di controllo di verificare il rispetto delle prescrizioni.

Come dev’essere la notifica di Data breach

La notifica deve:

  • descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  • comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni
  • descrivere le probabili conseguenze delle violazioni dei dati personali
  • descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, per attenuarne i possibili effetti negativi.

In Italia prima dell’approvazione del Regolamento erano già presenti obblighi di notifica in quattro fattispecie di trattamento:

  • Settore comunicazioni elettroniche (Prov. Garante 161/2013) – Provvedimento del Garante n. 161 del 4 aprile 2013 con il quale viene prescritto l’obbligo di comunicazione al Garante (mediante un apposito modello di comunicazione) da parte dei fornitori di servizi telefonici e di accesso a Internet (e non, ad esempio, i siti internet che diffondono contenuti, i motori di ricerca, gli internet point, le reti aziendali). Secondo il provvedimento in caso di violazione dei dati personali, società di Tlc e Isp devono: entro 24 ore dalla scoperta dell’evento, fornire al Garante le informazioni necessarie a consentire una prima valutazione dell’entità della violazione entro 3 giorni dalla scoperta, informare anche ciascun utente coinvolto, comunicando gli elementi previsti dal Regolamento 611/2013 e dal provvedimento del Garante n. 161 del 4 aprile 2013. La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza nonché sistemi di cifratura e di anonimizzazione che rendono inintelligibili i dati. Nei casi più gravi, il Garante può comunque imporre la comunicazione agli interessati. Per consentire l’attività di accertamento del Garante, società telefoniche e provider devono tenere un inventario costantemente aggiornato delle violazioni subite.
  • – Biometria (Provv. Garante 513/2014) – Provvedimento n. 513 del 12 novembre 2014 dove viene previsto che entro 24 ore dalla conoscenza del fatto, i titolari del trattamento (aziende, amministrazioni pubbliche, ecc.) comunicano al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui sistemi biometrici installati o sui dati personali custoditi.
  • Dati sanitari inseriti in Dossier (Provv. Garante 331/2015) Provvedimento n. 331 del 4 giugno 2015 dove viene sancito che entro 48 ore dalla conoscenza del fatto, le strutture sanitarie pubbliche e private sono tenute a comunicare al Garante (tramite il modello allegato al provvedimento) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario.
  • Dati comunicati fra PA (Provv. Garante 393/2015)- Provvedimento del 2 luglio 2015 “Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche” con il quale il Garante prescrive, ai sensi dell’articolo 154, comma 1, lett. c), del Codice in materia di protezione dei dati personali, che le pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165 devono comunicare all’Autorità, entro quarantotto ore dalla conoscenza del fatto, tutte le violazioni dei dati o gli incidenti informatici che possono avere un impatto significativo sui dati personali contenuti nelle proprie banche dati e che tali comunicazioni dovevano essere redatte secondo uno schema specifico allegato al provvedimento e inviate tramite posta elettronica o posta elettronica certificata.

La comunicazione di data breach art. 34 (violazione dei dati personali all’interessato)

Quando la violazione dei dati personali presenta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo. La comunicazione all’interessato descrive con un linguaggio semplice e chiaro la natura della violazione. Tale comunicazione non è richiesta all’interessato se:

  • il titolare del trattamento ha messo in atto le misure tecniche ed organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
  • Il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati;

Detta comunicazione richiederebbe sforzi sproporzionati. In tale caso, si procede invece a una comunicazione pubblica o a una misura simile.

La gestione del data breach

Per prevenire, gestire e risolvere episodi di perdita e/o distruzione dei dati personali è necessario:

  • Adottare un protocollo di risposta;
  • Effettuare test periodici per controllare la validità del protocollo;
  • Ottenere una copertura assicurativa per eventuali casi di data breach;
  • Tenere un registro dei casi di data breach;
  • Compiere attività di indagine per individuare la natura e la portata della violazione.

Il protocollo di risposta

Il Titolare del trattamento deve adottare un protocollo di risposta, ossia procedure da seguire per gestire e risolvere eventuali episodi di distruzione e/o perdita di dati. L’adozione del protocollo coinvolge numerose dipartimenti aziendali e strutture pubbliche quali ministeri, asp, etc. Questo protocollo dovrà indicare un modo coerente, sistematico e proattivo per gestire questi incidenti che coinvolgono i dati personali. Per la soluzione di questi incidenti l’azienda/ente pubblico potrà farsi coadiuvare da terzi fornitori di servizi quali:

  • Call center;
  • Servizi di assistenza agli utenti e pubbliche relazioni;
  • Sistemi di monitoraggio;
  • Sistemi di risoluzione dei casi di furto di identità.

La sicurezza informatica contro il data breach

Al fine di prevenire una violazione di data breach è necessario utilizzare un modello di sicurezza informatica così strutturato:

Altri strumenti di prevenzione

  • sviluppo e manutenzione di sistemi (System Development and Maintenance)
  • Accertare che la sicurezza sia stata costruita all’interno delle operazioni di sistema;
  • impedire la perdita, la modifica o il cattivo utilizzo dei dati dell’utente all’interno dei sistemi di applicazione;
  • proteggere la riservatezza l’autenticità e l’integrità delle in formazioni;
  • accertarsi che le attività di progetto e supporto alle attività siano condotte in modo sicuro e per mantenere la sicurezza del software e dei dati del sistema;
  • gestione continuità operativa (Business Continuity Management);
  • Neutralizzare le interruzioni alle attività economiche ed ai processi critici degli affari e dagli effetti dei guasti;
  • adeguatezza (Compliance);
  • Evitare il mancato rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza;
  • Per elevare l’efficacia e minimizzare l’interferenza per il processo di verifica del sistema;

Effettuare test periodici

È importante condurre regolarmente dei test di verifica del protocollo adottato per garantire che le procedure seguite dall’Azienda per prevenire e risolvere casi di data breach siano efficienti e condotte da personale formato adeguatamente per implementare il protocollo. E’ altresì, importante stipulare un’adeguata polizza assicurativa per assicurare l’Azienda contro il rischio di Data Breach ed ottenere indennizzo dalla Compagnia Assicuratrice in occorrenza di violazioni di dati. L’assicurazione risarcisce i costi che l’Azienda deve sostenere per riparare le conseguenze della violazione e può anche coprire le eventuali spese legali che l’Azienda dovrà affrontare.

Tenere un registro di data breach

Il DPO (Data Protection Officer) deve promuovere la tenuta di un Registro dei casi di data breach, sia dei casi di violazione effettivamente occorsi sia le minacce potenziali, per identificare il tipo e la natura delle violazioni più ricorrenti

Tracciare i casi di data breach

Il tracciamento dei casi di violazione dei dati personali viene effettuato allo scopo di:

  • individuare e tenere sotto controllo i fattori di rischio, ossia i fattori che determinano con più frequenza una violazione dei dati personali
  • Misurare l’efficacia delle policy e delle procedure adottate
  • Elaborare un piano di conformità che fissi gli obiettivi da raggiungere per essere “compliant” rispetto a leggi, best practices, e che aiuti a dimostrare la conformità in sede di audit di verifica/ispezioni/test

Indagini forensi e Data Breach

Per gestire e risolvere i casi di Data Breach l’azienda/ente pubblico può stabilire al suo interno una funzione investigativa e demandare a personale interno indagini forensi “in house” e cioè siglare contratti con investigatori esterni ai quali demandare queste attività di indagine, compiere attività di indagine per individuare la natura e la portata della violazione. Le indagini investigative servono per:

  • Determinare la natura e la portata della violazione
  • Aiutare a prevenire ulteriori perdite di dati
  • Conservare le prove della violazione in modo che possano essere usate anche in un’eventuale azione giudiziaria

Cyber Data Incident Response Pack

A tale proposito è necessario approntare un Cyber Data Incident Response Pack, in grado di:

  • – Gestire l’incident e supportare l’ente nelle attività;
  • – Analizzare la natura della violazione;
  • – Identificare le evidenze, prove e informazioni tecniche;
  • – Determinare la tipologia dei dati compromessi;
  • – Stabilire quali dati sono stati compromessi:
  • – Formalizzare lo stato delle misure di sicurezza in essere;
  • – Predisporre in piano di Remediation.

Nello specifico il servizio di Cyber Data Breach Incident Response permette di essere compliant alla normativa vigente di Data Protection normata nel GDPR. Ma oltre ad avere sempre un piano di “pronta risposta” bisogna anche intervenire giocando sul piano della Cyber Security preventiva, come? con attività costanti di vulnerability assessment, penetration testing e Cyber Threat Intelligence per identificare le vulnerabilità e porvi rimedio; formazione e sensibilizzazione dei dipendenti; e sviluppo di policy e procedure in grado di assicurare la massima Cyber Resillience.

In conclusione, alcuni accorgimenti

Al fine di prevenire i rischi di una “data breach” è possibile utilizzare le seguenti contromisure:

  • Trasformare l’utente da anello debole a prima linea di difesa;
  • Applicare il principio del minimo privilegio per quanto riguarda l’accesso ai dati;
  • Adottare puntuali politiche di patching dei sistemi;
  • Crittografare i dati sensibili;
  • Utilizzare l’autenticazione a due fattori;
  • Rivolgere grande attenzione anche alla sicurezza fisica
  • Adottare e dotarsi di una buona procedura organizzativa di prevenzione del data breach (rilevazione, valutazione e documentazione della violazione all’interno del processo di gestione del data breach)
  • Attività di auditing da parte del DPO
  • Attuazione di politiche di sensibilizzazione e formazione, che possono essere sollecitate dal DPO con un’azione informativa a riguardo diretta al personale che svolge le attività di trattamento

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Copiato negli appunti

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Copiato negli appunti

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Copiato negli appunti

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • l'analisi

    Linee Guida EDPB su “data breach”: cosa cambia con la versione 2.0

    12 Mag 2023

    di Rossella Bucca e Rossella Taddei

    Condividi

  • GDPR

    GDPR, tutto ciò che c'è da sapere per essere in regola

    03 Mag 2023

    di Raffaella Natale, Alessandro Longo e Anna Cataleta

    Condividi

  • Le regole

    Data Breach, come si fa la notifica al Garante privacy: guida pratica per aziende

    28 Mar 2023

    di Lorenzo Giannini

    Condividi

Prossimo

Linee Guida EDPB su “data breach”: cosa cambia con la versione 2.0

Articolo 1 di 4