View
35
Download
0
Category
Preview:
Citation preview
LE MISURE DI SICUREZZA
NEL REGOLAMENTO EU 679/2016
Autore Lino Fornaro,
Senior Security consultant, Evolumia SRL
Direttivo Clusit
Senior Security Consultant
Lead Auditor ISO/IEC 27001:13
OSSTMM PROFESSIONAL SECURITY TESTER - OPST
OSSTMM PROFESSIONAL SECURITY ANALYST - OPSA
ISECOM Certified Trainer
Certificato ICT Security Manager – registro AICQ Sicev
Docente Master sulla Sicurezza (ICS) presso TILS - L’Aquila
Relatore in conferenze di sensibilizzazione sul tema ICT Security
Esperto Normativa Italiana Privacy (DLgs 196/03)
Esperto normative europee Cybersecurity
Membro Comitato Direttivo CLUSIT
Membro Comitato Tecnico Scientifico AICQ Sicev “Uni 11506
Certificazioni informatiche”
Membro sottocommissione SC27 di UNINFO
Socio Fondatore ANORC, Membro Coordinamento ANORC Privacy
$whois Lino Fornaro
La sicurezza eletta a “Principio” nel trattamento dei dati personali
Art. 5 PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI
PERSONALI
1. I dati personali sono:
…....
f) trattati in maniera da garantire un’adeguata sicurezza dei dati
personali, compresa la protezione, mediante misure tecniche e
organizzative adeguate, da trattamenti non autorizzati o illeciti e
dalla perdita, dalla distruzione o dal danno accidentali (“integrità e
riservatezza”)
Art.25 Protezione dei Dati sin dalla progettazione (PRIVACY by Design)
Tenuto conto dello stato dell’arte e dei costi di attuazione, nonché
della natura, dell’ambito di applicazione, del contesto e delle finalità
del trattamento…
..come anche dei rischi aventi probabilità e gravità diverse per i
diritti e le libertà delle persone fisiche costituiti dal trattamento….
..sia al momento di determinare i mezzi del trattamento sia all’atto
del trattamento stesso
Il titolare del trattamento mette in atto misure techiche ed
organizzative adeguate, quali la pseudonimizzazione, volte ad
attuare in modo efficace i principi di protezione dei dati, quali la
minimizzazione, e a integrare nel trattamento le necessarie
garanzie al fine di soddisfare i requisiti del presente regolamento e
tutelare i diritti degli interessati
Art.25 … e protezione per impostazione predefinita(PRIVACY by Default)
Il titolare mette in atto misure tecniche e organizzative
adeguate per garantire che siano trattati, per impostazione
predefinita, solo i dati personali necessari per ogni specifica
finalità di trattamento, …..
Tale obbligo vale per la quantità dei dati personali raccolti, la
portata del trattamento, il periodo di conservazione e l’accessibilità.
... In particolare dette misure garantiscono che, per impostazione
predefinita, non siano resi accessibili dati personali ad un numero
indefinito di persone fisiche senza l’intervento della persona fisica.
Un meccanismo di certificazione approvato ai sensi dell’art.42
può essere utilizzato come elemento per dimostrare la
conformità ai requisiti......
PRIVACY by Design
I 7 PRINCIPI
1. Proattivo non reattivo – prevenire non correggere
2. Privacy come impostazione di default
3. Privacy incorporata nella progettazione
4. Massima funzionalità − Valore positivo, non valore zero
5. Sicurezza fino alla fine − Piena protezione del ciclo vitale
6. Visibilità e trasparenza − Mantenere la trasparenza
7. Rispetto per la privacy dell'utente − Centralità dell'utente
PRIVACY by Design
OBIETTIVI
L'obiettivo principale è quello di elaborare due concetti:
• La protezione dei dati
• La protezione degli utenti
prestando molta attenzione sull'aspetto della privacy e, successivamente,
su quello dei diritti. L'utente diventa il punto di partenza per sviluppare il
progetto in base alla legge sulla privacy e quindi con un approccio “user
centric”.
Pseudonimizzazione ?
Il trattamento di dati personali in modo tale che i dati personali non
possano essere attribuiti a un interessato specifico senza
l’utilizzo di informazioni aggiuntive, a condizione che tali
informazioni aggiuntive siano conservate separatamente e soggette
a misure tecniche e organizzative intese a garantire che tali dati
personali non siano attribuiti a una persona fisica
identificata o identificabile.
ATTENZIONE: DIVERSO DAL DATO ANONIMO
La Pseudonimizzazione
E’ una misura tecnica di “privacy by Design” che si pone l’obiettivo
di “allontanare” il dato dalla persona., rendendo complessa la
riferibilità del dato alla persona stessa, senza tuttavia “rompere” il
legame che esiste tra il dato e la persona, come è invece obiettivo
delle tecniche di anonimizzazione.
IL RICORSO ALL’ANALISI DEL RISCHIO
Il Regolamento introduce un impianto normativo complessivamente
basato sul rischio, incoraggiando i titolari (e i responsabili) ad adottare
scelte coerenti con rischi misurati in ogni decisione che riguarda il
trattamento dei dati.
Nel GDPR il rischio è un elemento centrale e discriminante
Il rischio è menzionato più di 70 VOLTE nel GDPR!!!
RIS
K A
NA
LIS
YS
IL RICORSO ALL’ANALISI DEL RISCHIO
il GDPR richiede alle organizzazioni di valutare la “probabilità e la
gravità del rischio” delle loro operazioni di trattamento dei dati
personali, ai diritti e alle libertà fondamentali delle persone.
Per le operazioni di trattamento che comportano rischi minori per i
diritti e le libertà fondamentali delle persone possono generalmente
risultare un minor numero di obblighi di conformità, mentre le
operazioni di trattamento “ad alto rischio” aumenteranno gli obblighi di
conformità aggiuntivi, come le valutazioni di impatto sulla protezione
dei dati (concetto di SCALABILITA’)
RIS
K A
NA
LIS
YS
IL RICORSO ALL’ANALISI DEL RISCHIO
La Scalabilità e l'approccio basato sul rischio sono strettamente legate
a meccanismi di incentivazione di responsabilità, richiamati da un altro
principio fondamentale del GDPR
Principio di «accountability» (art. 24)(responsabilizzazione)
Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle
finalità del trattamento, nonché dei rischi aventi probabilità e gravità
diverse per i diritti e le libertà delle persone fisiche, il titolare del
trattamento mette in atto misure tecniche e organizzative adeguate per
garantire, ed essere in grado di dimostrare, che il trattamento è effettuato
conformemente al presente regolamento. Dette misure sono riesaminate e
aggiornate qualora necessario.
RIS
K A
NA
LIS
YS
I RISCHI PRIVACY
Il considerando (75) contiene un elenco di eventi pregiudizievoli per i diritti
dell’interessato che possono derivare dalle attività di trattamento:
• Discriminazione
• Furto o usurpazione di identità
• Perdite finanziarie
• Pregiudizio alla reputazione
• perdita di riservatezza dei dati personali protetti da segreto professionale
• decifratura non autorizzata della pseudonimizzazione
• qualsiasi altro danno economico o sociale significativo
• Impedimento dell'esercizio del controllo sui dati personali
• valutazione di aspetti personali
• Trattamenti di dati «sensibili», «giudiziari», di minori
RIS
K A
NA
LIS
YS
Alcune considerazioni su Privacy Risk Analysis
Considerando i benefici, in via preliminare.
I benefici devono essere considerati, in via preliminare nella valutazione
del rischio in quanto sono legati alla finalità del trattamento.
I vantaggi e le finalità del trattamento devono essere tenuti in
considerazione al momento di definire le mitigazioni per evitare una
riduzione delle prestazioni non necessarie o di minare degli scopi.
RIS
K A
NA
LIS
YS
Alcune considerazioni su Privacy Risk Analysis
COSA prendere in considerazione per determinare i rischi Privacy:
1. attività di trattamento potenzialmente rischiose che potrebbero
provocare danni
2. le potenziali minacce in qualsiasi trattamento.
3. la probabilità e la gravità di eventuali danni che potrebbero derivare
da trattamenti rischiosi o minacce
RIS
K A
NA
LIS
YS
Alcune considerazioni su Privacy Risk Analysis
Le seguenti attività di trattamento si qualificano come potenzialmente
rischiose che possono provocare danni:
• trattamento dei dati di persone vulnerabili, quali i dati sui minori;
• elaborazione di grandi quantità di dati che interessano un gran
numero di individui;
• impegnarsi in un “nuovo tipo” di trattamento, oppure quando è
trascorso molto tempo da un primo DPIA;
• trattamento automatizzato, inclusa la profilazione, che fornisce una
base per le decisioni con effetto giuridico o un effetto altrettanto
significativo;
RIS
K A
NA
LIS
YS
Alcune considerazioni su Privacy Risk Analysis
Le seguenti attività di trattamento si qualificano come potenzialmente
rischiose che possono provocare danni:
• elaborazione su larga scala di categorie particolari di dati, e dati su
condanne penali e reati;
• trattamento su larga scala e il monitoraggio sistematico delle aree
accessibili al pubblico; e
• uso delle nuove tecnologie.
Questo elenco di trattamenti rischiosi o “trigger rischio” non è esclusivo
e ce ne possono essere altri che le organizzazioni devono prendere in
considerazione di volta in volta in base al contesto
RIS
K A
NA
LIS
YS
Alcune considerazioni su Privacy Risk Analysis
Una valutazione dei rischi dovrebbe prendere in considerazione le
potenziali minacce in qualsiasi trattamento:
• Raccolta ingiustificata o eccessiva di dati;
• l'uso o la conservazione dei dati inesatti o non aggiornati;
• uso improprio o abuso dei dati, tra cui:
a) l'uso dei dati oltre le ragionevoli aspettative degli individui;
b) l'uso insolito di dati oltre le norme societarie, cui ogni individuo
ragionevole in questo contesto potrebbe opporsi; o
c) l'inferenza ingiustificabile o decisioni, da cui l'organizzazione
non può oggettivamente difendersi;
• perdita o furto o distruzione e alterazione dei dati; e
• Accesso ingiustificabile o non autorizzato, il trasferimento, la
condivisione o la pubblicazione di dati.
RIS
K A
NA
LIS
YS
Alcune considerazioni su Privacy Risk Analysis
Infine, le organizzazioni devono valutare la probabilità e la gravità di
eventuali danni che potrebbero derivare da trattamenti rischiosi o
minacce:
a) danno materiale, tangibile, fisico o economico agli individui, come
ad esempio:
• danno fisico;
• perdita della libertà o della libertà di movimento;
• danni alla capacità di guadagno e perdita finanziaria ; e
• altri danni significativi agli interessi economici, ad esempio
derivanti dal furto di identità.RIS
K A
NA
LIS
YS
Alcune considerazioni su Privacy Risk Analysis
b) danno non materiale, disagio immateriale su individui, quali:
• danno derivante dal monitoraggio o l'esposizione di identità,
caratteristiche, attività, associazioni o opinioni;
• effetto dannoso sulla libertà di parola, di associazione, ecc .;
• danno reputazionale;
• paure personali, familiari, di lavoro o sociale, imbarazzo,
apprensione o ansia;
• intrusione inaccettabile nella vita privata;
• la discriminazione illegale o stigmatizzazione;
• perdita di autonomia;
• decurtazione inadeguato di scelta personale;
• furto d'identità; e
• la privazione di controllo sui dati personali.
RIS
K A
NA
LIS
YS
Art.32 Sicurezza del trattamento
Tenendo conto dello stato dell’arte e dei costi di attuazione,
nonché
• della natura
• dell’oggetto
• del contesto
• delle finalità del trattamento
come anche del rischio di varia probabilità e gravità per i diritti e
le libertà delle persone fisiche
Il titolare del trattamento e il responsabile del trattamento mettono
in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le
altre, se del caso:
RIS
K A
NA
LIS
YS
Art.32 Sicurezza del trattamento
a) La pseudonimizazione e la cifratura dei dati personali;
(utile in caso di data breach)
b) La capacità di assicurare su base permanente la riservatezza,
l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi
di trattamento;
(capacità di adattamento a condizione d’uso e resistenza a
situazioni avverse per garantire disponibilità dei servizi erogati)
a) La capacità di ripristinare tempestivamente la disponibilità e
l’accesso dei dati personali in caso di incidente fisico o tecnico;
(procedure di DR e incident response)
b) Una procedura per testare, verificare e valutare regolarmente
l’efficacia delle misure tecniche e organizzative al fine di
garantire la sicurezza del trattamento RIS
K A
NA
LIS
YS
, D
R,
IS
O
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in
special modo dei rischi presentati dal trattamento che derivano in
particolare dalla distruzione, dalla perdita, dalla modifica, dalla
divulgazione non autorizzata o dall’accesso, in modo accidentale o
illegale, a dati personali trasmessi, conservati o comunque trattati.
3. L’adesione ad un codice di condotta approvato di cui all’art.40 o
a un meccanismo di certificazione approvato di cui all’art.42 può
essere utilizzata come elemento per dimostrare la conformità ai
requisiti di cui al paragrafo 1 del presente articolo
Art.32 Sicurezza del trattamentoR
IS
K A
NA
LIS
YS
Art.33 Notifica di una violazione dei dati personali all’autorità di controllo
1. In caso di violazione dei dati personali, il titolare del
trattamento notifica la violazione all’autorità di controllo ….
senza ingiustificato ritardo ...entro 72 ore(*) dal momento in
cui è venuto a conoscenza, a meno che sia improbabile che la
violazione dei dati personali presenti un rischio per i diritti e le
libertà delle persone fisiche (**)
DA
TA
BR
EA
CH
(*) Misure tecniche
che individuino la
violazione e
notifichino il titolare
(**) ricorso alla cifratura,
a patto che le chiavi
crittografiche siano al
sicuro (e non sui sistemi
violati)
La notifica d cui al paragrafo 1 deve almeno:
a) Descrivere la natura della violazione dei dati personali
compresi, ove possibile, le categorie e il numero
approssimativo di interessati in questione nonché le categorie e
il numero approssimativo di registrazioni di dati personali in
questione;
b) Comunicare il nome e i dati di contatto del responsabile della
protezione dei dati o di altro punto di contatto presso cui
ottenere informazioni;
DA
TA
BR
EA
CH
Art.33 Notifica di una violazione dei dati personali all’autorità di controllo
La notifica di cui al paragrafo 1 deve almeno:
c) Descrivere le probabili conseguenze della violazione (*) dei dati
personali
d) Descrivere le misure adottate o di cui si propone l’adozione da
parte del titolare per porre rimedio alla violazione dei dati personali
e anche, se del caso, per attenuare i possibili effetti negativi (**)
(*) la Risk Analisys
dovrebbe aver contemplato
e misurato questo rischio e
determinato le misure
preventive
(**) un piano di Risposta
agli incidenti e una
strategia di gestione della
crisi sono fortemente
consigliate
DA
TA
BR
EA
CH
Art.33 Notifica di una violazione dei dati personali all’autorità di controllo
1. Quando la violazione di dati personali è suscettibile di
presentare un rischio elevato per i diritti e le libertà delle
persona fisiche, il titolare del trattamento comunica la
violazione all’interessato senza ingiustificato ritardo
2. La comunicazione all’interessato …. descrive con un
linguaggio semplice e chiaro la natura della violazione dei dati
personali e contiene almeno le informazioni e le
raccomandazioni di cui all’art.33, par.3 lettere b) c) e d).
DA
TA
BR
EA
CH
Art.34 COMUNICAZIONE di una violazione dei dati personali ALL’INTERESSATO
a) 3. Non è richiesta la comunicazione all’interessato… se è
soddisfatta una delle seguenti condizioni:
b) Il titolare ha messo in atto le misure tecniche e organizzative
adeguate di protezione e tali misure erano state applicate ai dati
personali oggetto della violazione, in particolare quelle destinate
a rendere i dati personali incomprensibili a chiunque non sia
autorizzato ad accedervi, quali la cifratura.
DA
TA
BR
EA
CH
Art.34 COMUNICAZIONE di una violazione dei dati personali ALL’INTERESSATO
b) Il titolare del trattamento ha successivamente adottato misure
atte a scongiurare il sopraggiungere di un rischio elevato per i
diritti e le libertà degli interessatindi cui al par.1
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal
caso, si procede invece a una comunicazione pubblica o a una
misura simile, tramite la quale gli interessati sono informati con
analoga efficacia.Una strategia di
comunicazione che tuteli
l’immagine e che preservi il
business aziendale è
necessaria
DA
TA
BR
EA
CH
Art.34 COMUNICAZIONE di una violazione dei dati personali ALL’INTERESSATO
Danni fisici, materiali, morali
Perdita del controllo dei dati
Discriminazione
Furto o usurpazione d'identità
Decifratura non autorizzata della pseudonimizzazione
Pregiudizio alla reputazione
Perdita di riservatezza dei dati protetti da segreto professionale
Perdite finanziarie
Etc.
DA
TA
BR
EA
CH
Art.34 COMUNICAZIONE di una violazione dei dati personali ALL’INTERESSATO
Paragrafo 1
Quando un tipo di trattamento, allorché prevede in particolare l’uso
di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le
finalità del trattamento, può presentare un rischio elevato per i
diritti e le libertà delle persone fisiche, il titolare del
trattamento effettua, prima di procedere al trattamento, una
valutazione dell’impatto dei trattamenti previsti sulla
protezione dei dati personali. Una singola valutazione può
esaminare un insieme di trattamenti simili che presentano rischi
elevati analoghi.
Art.35 Valutazione d’impatto sulla protezione dei dati
Il Titolare del trattamento, allorquando svolge una valutazione d’impatto
sulla protezione dei dati, si consulta con il responsabile della protezione
dei dati, qualora ne sia designato uno
Art.35 Valutazione d’impatto sulla protezione dei dati
GRAZIE per l’attenzione
Lino Fornaro, Evolumia srlSenior Security Consultant e
Privacy Advisorl.fornaro@evolumia.it
Recommended