Analisi dei rischi e valutazione GDPR Downloader.pdf · sistemi di gestione della sicurezza, governance e sicurezza delle informazioni nelle organizzazioni, ... un'analisi del rischio

Analisi dei rischi e valutazione d’impatto privacy:

le misure di sicurezza adeguate per la protezione dei dati personali

ing. Giuseppe G. Zorzino

Roma, 16 mag 2018 ERMCP, CISA, CISM, CGEIT, CRISC, LA27001, CMMIappr, MCSA:Sec, Security+, ...


Giuseppe Giovanni Zorzino

Consulente e docente di sicurezza delle informazioni, attualmente mi occupo di cyberstrategies,

sistemi di gestione della sicurezza, governance e sicurezza delle informazioni nelle organizzazioni,

privacy, compliance e awareness.

35+ anni di esperienza nell'IT e nell'analisi e sviluppo di basi di dati complesse, ed oltre 20 nell'IT

security.

Accademia di Pozzuoli, Ufficiale del Corpo del Genio dell'A.M., Cybersecurity coordinator del CESMA

(Centro Studi Militari Aeronautici) "Giulio Douhet".

Membro della Comm. Sicurezza Informatica dell’Ordine degli Ingegneri di Roma, nonché

di ISACA Rome Chapter e ISC2 Italian Chapter.

Vasta attività di divulgazione e formazione c/o enti pubblici e PMI.

2 brevetti.

Varie certificazioni attive: ERMCP, CISA, CISM, CGEIT, CRISC, Security+, Lead Auditor ISO 27001,

CMMI appr, MCSASec 2003, Certificatore etico, IBM Cert Solution Architect, IBM_Cert_Specialist, …

Bio

16/05/2018 2

Analisi dei rischi e valutazione d’impatto privacy


1. Dall'All. B §19.3 della 196 all'art. 35 del GDPR

2. La verifica della compliance al Regolamento

3. Il contesto della DPIA

4. Obbligatoria o no?

5. In carico a ….

6. Le metodologie

7. Strumenti ed esempi

8. Conclusioni

Agenda

16/05/2018 3



Nell'All. B del Dlgs

196/2003 era prevista

l'effettuazione di

un'analisi del rischio e

l'adozione di misure per

ridurre i rischi individuati

Dall'All. B §19.3 della 196 all'art. 35 del GDPR

16/05/2018 4



Arriva …..

16/05/2018 5



Chi è tenuto a rispettare GDPR deve condurre periodiche valutazioni del rischio.

Le valutazioni del rischio sono una parte essenziale della sicurezza informatica.

I rischi da affrontare non sono solo crimini e criminali informatici, anche la vulnerabilità dei

dati a distruzione, perdita o divulgazione accidentale o illecita.

I modi come tutto ciò potrebbe accadere devono essere identificati in ogni fase del

processo di gestione dei dati.

La crittografia e la pseudonimizzazione dei dati non sono la soluzione totale. Seppur

impediscono la visualizzazione dei dati, non altrettanto fanno per impedire la violazione

dei sistemi delle organizzazioni, cosa altrettanto importante per la conformità GPDR.

Un'analisi del rischio valuta le misure tecniche e organizzative presenti per salvaguardare

la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di

elaborazione. Inoltre, l'organizzazione deve essere in grado di ripristinare rapidamente la

disponibilità e l'accesso ai dati personali dopo una violazione dei dati.

La valutazione d'impatto sulla protezione dei dati è uno strumento per gestire i rischi degli

interessati mentre la gestione del rischio è normalmente incentrata sull'organizzazione.

Perchè la valutazione del rischio è

essenziale per la conformità?

16/05/2018 6



Il regolamento impone ai titolari di attuare misure adeguate a garantire

e dimostrare il rispetto del regolamento tenendo conto dei rischi

connessi al trattamento di dati personali.

GDPR

16/05/2018 7



I rischi per i diritti e le libertà delle persone fisiche, aventi probabilità e gravità diverse,

possono derivare da trattamenti di dati personali suscettibili di cagionare un danno fisico,

materiale o immateriale, in particolare:

se il trattamento può comportare discriminazioni, furto o usurpazione d’identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, decifratura non autorizzata della pseudonimizzazione, o qualsiasi altro danno economico o sociale significativo; se gli interessati rischiano di essere privati dei loro diritti e delle loro libertà o venga loro impedito l’esercizio del controllo sui dati personali che li riguardano;

se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza;

in caso di valutazione di aspetti personali, in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali;

se sono trattati dati personali di persone fisiche vulnerabili, in particolare minori;

se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati.

GDPR considerando (75)

16/05/2018 8



1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,

dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia

probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e

il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate

per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se

del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la

disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati

personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle

misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi

presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla

modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o

illegale, a dati personali trasmessi, conservati o comunque trattati.

GDPR – art. 32Sicurezza del trattamento (C83)

16/05/2018 9



(83) Per mantenere la sicurezza e prevenire trattamenti in violazione al presente

regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare

i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura. Tali

misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza,

tenuto conto dello stato dell’arte e dei costi di attuazione rispetto ai rischi che presentano i

trattamenti e alla natura dei dati personali da proteggere.

Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in

considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione

accidentale o illegale, la perdita, la modifica, la rivelazione o l’accesso non autorizzati a

dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in

particolare un danno fisico, materiale o immateriale.

GDPR considerando (83)

16/05/2018 10



1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove

tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può

presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del

trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei

trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può

esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione

dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia

designato uno.

3. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in

particolare nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche,

basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si

fondano decisioni che hanno effetti giuridici o incidono in modo analogo

significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo

9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10; o

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

GDPR – art. 35Valutazione d’impatto sulla protezione dei dati

16/05/2018 11



4. L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti

soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del

paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.

5. L’autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di

trattamenti per le quali non è richiesta una valutazione d’impatto sulla protezione dei

dati. L’autorità di controllo comunica tali elenchi al comitato.

6. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l’autorità di controllo competente

applica il meccanismo di coerenza di cui all’articolo 63 se tali elenchi comprendono

attività di trattamento finalizzate all’offerta di beni o servizi a interessati o al

monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che

possono incidere significativamente sulla libera circolazione dei dati personali all’interno

dell’Unione.


16/05/2018 12



7. La valutazione contiene almeno:

a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento,

compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;

b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle

finalità;

c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e

d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza

e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità

al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli

interessati e delle altre persone in questione.

8. Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto

in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui

all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei dati.

9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro

rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o

pubblici o la sicurezza dei trattamenti.


16/05/2018 13



È necessario realizzare una valutazione d'impatto sulla protezione dei dati soltanto

quando la tipologia di trattamento "può presentare un rischio elevato per i diritti e le

libertà delle persone fisiche" (articolo 35, paragrafo 1).

Il semplice fatto che le condizioni che comportano l'obbligo di realizzare una valutazione

d'impatto sulla protezione dei dati non sono soddisfatte, non diminuisce tuttavia l'obbligo

generale, cui i titolari del trattamento sono soggetti, di attuare misure volte a gestire

adeguatamente i rischi per i diritti e le libertà degli interessati.

In pratica, i titolari del trattamento devono continuamente valutare i rischi creati

dalle loro attività al fine di stabilire quando una tipologia di trattamento "possa presentare

un rischio elevato per i diritti e le libertà delle persone fisiche".

Al fine di poter gestire i rischi per i diritti e le libertà delle persone fisiche, detti rischi

devono essere regolarmente individuati, analizzati, stimati, valutati, trattati (ad esempio

attenuati, ecc.) e riesaminati.

I titolari del trattamento non possono sottrarsi alla loro responsabilità coprendo i rischi con

polizze assicurative.

Cosa fare

16/05/2018 14


WP 248 Linee guida concernenti valutazione impatto sulla protezione dati rev.01_it.pdf

Avvio






5. In carico a ….

6. Le metodologie


8. Conclusioni

Agenda

16/05/2018 15



Alcune soluzioni sul mercato:

• Verifica della maturità

Verifica della compliance a GDPR

16/05/2018 16


IBM Security – Self Assessment Trattamento dei dati - Valutazioni introduttive alla tematica GDPR



16/05/2018 17


IBM Security – Self Assessment Trattamento dei dati - Valutazioni introduttive alla tematica GDPR


GDPR Compliance Gap Analysis

16/05/2018 18


http://www.servicios.agpd.es/Evalua/home.seam


(per me), sono da verificare i seguenti articoli:


16/05/2018 19


GDPR Articoli

CAPO II – Principi da 5 a 10 6

CAPO III - Diritti dell'interessato 12-22 11

CAPO IV - Titolare del trattamento e responsabile del trattamento

24-25, 27-30, 32-39 14

CAPO V - Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali

5-49 5

CAPO VIII - Mezzi di ricorso, responsabilità e sanzioni 78 1

CAPO IX - Disposizioni relative a specifiche situazioni di trattamento

89, 91 2

tot 39



16/05/2018 20







5. In carico a ….

6. Le metodologie


8. Conclusioni

Agenda

16/05/2018 21



Articolo 24

Responsabilità del titolare del trattamento (C74-C78)

1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del

trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà

delle persone fisiche, …

Articolo 25

Protezione dei dati fin dalla progettazione e protezione per impostazione

predefinita (C75-C78)


dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche

dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche

costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia

all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e

organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace

i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le

necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare

i diritti degli interessati.

Gestione del rischio

16/05/2018 22



Articolo 32

Sicurezza del trattamento (C83)


dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di

varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del

trattamento e il responsabile del trattamento mettono in atto misure tecniche e

organizzative adeguate per garantire un livello di sicurezza adeguato al rischio,

…

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi

presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita,

dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale

o illegale, a dati personali trasmessi, conservati o comunque trattati.


16/05/2018 23



A risk management process comprises four key phases, as

follows:

• Risk assessment: It can be understood as the generation

of a snapshot of current risks. A risk is often expressed as a

function of the likelihood that an adverse outcome (threat)

occurs multiplied by the magnitude of the adverse outcome

(impact) should it occur.

• Risk treatment: Based on the results of the risk

assessment, at this phase the organization selects and

implements security measures to treat the risks. The

measures can have different effects, such as: mitigation,

transfer, avoidance or retention of risks.

• Risk acceptance: Even when the risks have been treated,

residual risks will probably remain (e.g. due to the fact that

some controls are not feasible). These risks will need to be

accepted. This is a management decision that needs to

follow the acceptance of the way risks have been treated.

• Risk communication: All involved stakeholders need to be

informed about risks adopted controls, as well as accepted

risks.

ISO 27005

ISMS Risk Management

16/05/2018 24



Normalmente l'attenzione è sui rischi degli asset:

• identificazione della metodologia

• analisi del rischio (classificazione delle informazioni e delle risorse,

identificazione delle minacce e delle vulnerabilità, calcolo del livello di

rischio)

• controllo del rischio (definizione delle contromisure, verifica del rischio,

trattamento e gestione dei rischi)

MA

per il GDPR l'attenzione è sempre sui rischi per

i diritti e le libertà delle persone fisiche

cioè

la DPIA si occupa dei rischi per i dati delle persone, NON di quelli alle aziende


16/05/2018 25



"The action of risk sources on the supporting assets constitutes a threat and can take the

form of different threats. The supporting assets can be:

• used inappropriately: supporting assets are used outside or even diverted from their

intended context of use without being altered or damaged;

• observed: supporting assets are observed or spied upon without being damaged;

• overloaded: the limits of operation of supporting assets are exceeded, supporting

assets are overloaded, over-exploited or used under conditions not permitting them to

function properly;

• damaged: supporting assets are partially or completely damaged;

• altered: supporting assets are transformed;

• lost: supporting assets are lost, stolen, sold or given away, so it is no longer possible

to exercise property rights."

Tipologia delle minacce

16/05/2018 26


CNIL-PIA-2-Tools.pdf, pag 17


Tipologie di minacce

16/05/2018 27


CNIL-PIA-2-Tools.pdf


Mappa del rischio

16/05/2018 28


CNIL-PIA-2-Tools


Articolo 32

Sicurezza del trattamento (C83)


dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia

probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e

il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate

per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se

del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità

e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali

in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure

tecniche e organizzative al fine di garantire la sicurezza del trattamento.

GDPRConfidenzialità-Integrità-Disponibilità-Resilienza

16/05/2018 29







5. In carico a ….

6. Le metodologie


8. Conclusioni

Agenda

16/05/2018 30



La DPIA si basa su due pilastri:

• la tutela dei principi e diritti fondamentali dell'individuo, "non

negoziabili", stabiliti dalla legge, che devono essere rispettati e non

possono essere soggetti ad alcuna variazione, indipendentemente

dalla natura, dalla gravità e dalla probabilità di rischi;

• la gestione dei rischi per la privacy dei dati personali, che determina

i controlli tecnici e organizzativi appropriati per proteggere i dati

personali.

Basi fondamentali della DPIA

16/05/2018 31



Il regolamento impone ai titolari di mettere in atto misure idonee a

garantire ed essere in grado di dimostrare l’osservanza del

regolamento stesso, tenendo conto, fra gli altri, dei “rischi aventi

probabilità e gravità diverse per i diritti e le libertà delle persone fisiche”

(art. 24, paragrafo 1). L’obbligo di condurre una DPIA, in determinate

circostanze, deve essere collocato nel contesto del più generale

obbligo imposto ai titolari di gestire correttamente i rischi connessi al

trattamento di dati personali.

Il rischio è uno scenario che descrive un evento e le sue conseguenze,

stimato in termini di gravità e probabilità.

DPIA

16/05/2018 32



Obbligo della DPIA?

16/05/2018 33




… in tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle

persone fisiche.

Il Gruppo Art. 29 individua nove criteri specifici a questo proposito:

1) valutazione o assegnazione di un punteggio, compresa la profilazione;

2) processo decisionale automatizzato che produce significativi effetti giuridici (es: assunzioni,

concessione di prestiti, stipula di assicurazioni);

3) monitoraggio sistematico (es: videosorveglianza);

4) trattamento di dati sensibili, giudiziari o aventi carattere altamente personale;

5) trattamenti di dati personali su larga scala;

6) combinazione o raffronto di insiemi di dati derivanti da due o più trattamenti svolti per diverse

finalità e/o da titolari distinti, secondo modalità che esulano dal consenso iniziale;

7) dati relativi a soggetti vulnerabili (minori, soggetti con patologie psichiatriche, anziani, ecc.) che

possono non essere in grado di esercitare diritti, acconsentire o opporsi al trattamento;

8) utilizzi innovativi o applicazione di nuove soluzioni tecnologiche o organizzative (es:

riconoscimento facciale, device IoT, ecc.);

9) trattamenti che, di per sé, potrebbero impedire agli interessati di esercitare un diritto o di avvalersi

di un servizio o di un contratto.

La DPIA è necessaria in presenza di almeno due di questi criteri, ma il titolare può decidere - tenendo

conto delle circostanze - di condurre una DPIA anche se ricorre uno solo dei criteri di cui sopra.

QUANDO LA DPIA È OBBLIGATORIA

16/05/2018 34




Secondo le Linee guida del Gruppo Art. 29, la DPIA NON è necessaria per i trattamenti

che:

- non presentano rischio elevato per diritti e libertà delle persone fisiche;

- hanno natura, ambito, contesto e finalità molto simili a quelli di un trattamento per cui è

già stata condotta una DPIA;

- sono stati già sottoposti a verifica da parte di un’Autorità di controllo prima del maggio

2018 e le cui condizioni (es: oggetto, finalità, ecc.) non hanno subito modifiche;

- sono compresi nell’elenco facoltativo dei trattamenti per i quali non è necessario

procedere alla DPIA;

- fanno riferimento a norme e regolamenti, UE o di uno stato membro, per la cui

definizione è stata condotta una DPIA.

QUANDO LA DPIA NON È

OBBLIGATORIA

16/05/2018 35




La DPIA è una procedura finalizzata a descrivere il trattamento, valutarne

necessità e proporzionalità, e facilitare la gestione dei rischi per i diritti e le

libertà delle persone fisiche derivanti dal trattamento dei loro dati personali,

attraverso la valutazione di tali rischi e la definizione delle misure idonee ad

affrontarli.

La DPIA è uno strumento importante in termini di responsabilizzazione

(accountability) in quanto aiuta il titolare non soltanto a rispettare le prescrizioni

del RGPD, ma anche a dimostrare l’adozione di misure idonee a garantire il

rispetto di tali prescrizioni (art. 24).

La DPIA è una procedura che permette di realizzare e dimostrare la

conformità con le norme.

In base al regolamento, l’inosservanza degli obblighi concernenti la DPIA può

comportare l’imposizione di sanzioni pecuniarie da parte della competente

autorità di controllo.

Perché la DPIA

16/05/2018 36



Il mancato svolgimento della DPIA quando il trattamento è soggetto a tale

valutazione (art. 35, paragrafi 1 e 3-4), lo svolgimento non corretto di una DPIA

(art. 35, paragrafi 2 e 7-9) o la mancata consultazione dell’autorità di controllo

competente ove ciò sia necessario (art. 36, paragrafo 3, lettera e) ) possono

comportare l’irrogazione di una sanzione amministrativa pecuniaria fino a un

massimo di 10 milioni di Euro, ovvero – se si tratta di un’impresa – fino al 2%

del fatturato mondiale totale annuo dell’esercizio finanziario precedente, se

superiore.

Sanzioni per DPIA non corretta

16/05/2018 37







5. In carico a ….

6. Le metodologie


8. Conclusioni

Agenda

16/05/2018 38



1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove

tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può

presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del

trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei

trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può

esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.

2. Il titolare del trattamento, allorquando svolge una valutazione d’impatto sulla protezione

dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia

designato uno.

….

8. Nel valutare l’impatto del trattamento effettuato dai relativi titolari o responsabili è

tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati

di cui all’articolo 40, in particolare ai fini di una valutazione d’impatto sulla protezione dei

dati.

9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro

rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o

pubblici o la sicurezza dei trattamenti.


16/05/2018 39



Il DPO non effettua la DPIA, ma assiste il titolare del trattamento, che ne è responsabile,

nello svolgimento, in base all’art. 35, para 1.

Il DPO fornisce, se richiesto, un parere in merito alla DPIA e ne sorveglia lo svolgimento,

secondo l’art. 39, para 1, c).

Quando il titolare svolge una DPIA “si consulta” con il DPO in ossequio al principio del

“data protection by design" anche su:

- se condurre o meno una DPIA;

- quale metodologia adottare nel condurre una DPIA;

- se condurre la DPIA con le risorse interne ovvero esternalizzandola;

- quali salvaguardie applicare, comprese misure tecniche e organizzative, per attenuare i

rischi per i diritti e gli interessi delle persone interessate;

- se la DPIA sia stata condotta correttamente o meno, e se le conclusioni raggiunte

(procedere o meno con il trattamento, e quali salvaguardie applicare) siano conformi al

RGPD.

4.2. Il ruolo del DPO/RPD nella DPIA (1/3)

16/05/2018 40


WP243 rev.0.1 Linee guida sui responsabili della protezione dei dati


Se il titolare non concorda con le indicazioni fornite dal DPO, è necessario che

la documentazione relativa alla DPIA riporti specificamente per iscritto le

motivazioni per cui si è ritenuto di non conformarsi a tali indicazioni.

Inoltre, il WP29 raccomanda che il titolare definisca con chiarezza nel contratto

stipulato con il DPO il compito specificamente affidato e l'ambito di intervento.

Il titolare fornisce informative anche ai dipendenti, agli amministratori e, ove

pertinente, ad altri aventi causa, specificando i compiti loro affidati e i rispettivi

ambiti, con particolare riguardo alla conduzione della DPIA.


16/05/2018 41




Se il DPO è stato nominato:

• deve fornire il suo parere sulla/e DPIA;

• deve sorvegliare l’osservanza del RGPD (4.1)

L’art. 39, paragrafo 1, lettera b), affida al DPO, fra gli altri, il compito di

sorvegliare l’osservanza del RGPD. Nel considerando 97 si specifica che il

titolare o il responsabile del trattamento dovrebbe essere “assistito [dal RPD]

nel controllo del rispetto a livello interno del presente regolamento”.

Fanno parte di questi compiti di controllo svolti dal RPD, in particolare,

- la raccolta di informazioni per individuare i trattamenti svolti;

- l’analisi e la verifica dei trattamenti in termini di loro conformità,

- l’attività di informazione, consulenza e indirizzo nei confronti di titolare o

responsabile.


16/05/2018 42




Il WP29 propone i seguenti criteri che i titolari del trattamento possono utilizzare per

stabilire se sia richiesta una valutazione d'impatto sulla protezione dei dati o meno oppure

se una metodologia per lo svolgimento di una tale valutazione sia sufficientemente

completa per garantire il rispetto del regolamento generale sulla protezione dei dati:

• una descrizione sistematica del trattamento è fornita (articolo 35 §7, lett. a) ):

– la natura, l'ambito di applicazione, il contesto e le finalità del trattamento sono presi in

considerazione (considerando 90);

– vengono registrati i dati personali, i destinatari e il periodo di conservazione dei dati personali;

– viene fornita una descrizione funzionale del trattamento;

– sono individuate le risorse sulle quali si basano i dati personali (hardware, software, reti,

persone, canali cartacei o di trasmissione cartacea);

– si tiene conto del rispetto dei codici di condotta approvati (articolo 35 §8);

Allegato 2 - Criteri per una valutazione d'impatto sulla

protezione dei dati accettabile (1/4)

16/05/2018 43









• la necessità e la proporzionalità sono valutate (articolo 35 §7, lett. b) ):

– sono state determinate le misure previste per garantire il rispetto del regolamento (articolo 35 §7

lett. d) e considerando 90):

• misure che contribuiscono alla proporzionalità e alla necessità del trattamento sulla base di:

– finalità determinate, esplicite e legittime (articolo 5 §1 lett. b));

– liceità del trattamento (articolo 6);

– dati personali adeguati, pertinenti e limitati a quanto necessario (articolo 5 §1 lett. c));

– limitazione della conservazione (articolo 5, paragrafo 1 lett. e));

• misure che contribuiscono ai diritti degli interessati:

– informazioni fornite all'interessato (articoli 12, 13 e 14);

– diritto di accesso e portabilità dei dati (articoli 15 e 20);

– diritto di rettifica e alla cancellazione (articoli 16, 17 e 19);

– diritto di opposizione e di limitazione di trattamento (articoli 18, 19 e 21);

– rapporti con i responsabili del trattamento (articolo 28);

– garanzie riguardanti trattamenti internazionali (capo V);

– consultazione preventiva (articolo 36).



16/05/2018 44










• i rischi per i diritti e le libertà degli interessati sono gestiti (articolo 35 §7 lett. c)):

– l'origine, la natura, la particolarità e la gravità dei rischi (cfr. considerando 84) o, più in

particolare, per ciascun rischio (accesso illegittimo, modifica indesiderata e scomparsa dei dati)

vengono determinate dalla prospettiva degli interessati:

• si considerano le fonti di rischio (considerando 90);

• sono individuati gli impatti potenziali per i diritti e le libertà degli interessati in caso di eventi che includono

l'accesso illegittimo, la modifica indesiderata e la scomparsa dei dati;

• sono individuate minacce che potrebbero determinare un accesso illegittimo, una modifica indesiderata e

la scomparsa dei dati;

• sono stimate la probabilità e la gravità (considerando 90);

– sono determinate le misure previste per gestire tali rischi (articolo 35 §7 lett. d) e considerando

90);



16/05/2018 45










• i rischi per i diritti e le libertà degli interessati sono gestiti (articolo 35 §7 lettera c) ):

• le parti interessate sono coinvolte:

– si consulta il responsabile della protezione dei dati (articolo 35 §2);

– si raccolgono le opinioni degli interessati o dei loro rappresentanti, ove opportuno (articolo 35 §9).



16/05/2018 46




Dopo aver eseguito la valutazione di impatto, il titolare decide autonomamente se

iniziare il trattamento (in quanto si ritiene adeguatamente idoneo ad evitare il rischio di

danno alla privacy) oppure consultare l’autorità di controllo competente per avere

indicazioni su come gestire il cosiddetto rischio residuale (art. 36).

È bene precisare che l’autorità non deve autorizzare il trattamento, ma deve dare

indicazioni sulle ulteriori misure eventualmente da implementare a cura del titolare e,

se necessario, adottare tutte le misure correttive indicate nell’art. 58 (che vanno

dall’ammonimento del titolare fino alla limitazione o al divieto di procedere al trattamento).

Su richiesta del titolare, l'intervento delle autorità di controllo, avviene dopo che lo stesso

titolare ha implementato le sue misure tecniche e organizzative di gestione dei dati

personali per le finalità indicate.

Se il Codice della Privacy imponeva la notifica preventiva dei trattamenti all’autorità di

controllo e il cosiddetto prior checking (o verifica preliminare), ora la nuova normativa

europea li sostituisce con la citata consultazione preventiva con l’autorità di controllo e

l’obbligo di tenuta di un registro dei trattamenti da parte del titolare.

La consultazione preventiva con il

Garante

16/05/2018 47



La stesura di un DPIA corretto prevede che si seguano determinati step:

1 – Valutare l’opportunità di fare un DPIA

si fa un’attenta analisi del progetto.

2 – Descrizione dei flussi di informazioni e coinvolgimento dei partecipanti

individuare con precisione quali dati saranno utilizzati, come e dove serviranno, quali

finalità, da chi si ottengono, a chi saranno comunicati, chi ne avrà l’accesso.

3 – Identificazione dei rischi privacy e di quelli correlati

individuare i rischi di privacy e valutare il rischio in termini di coefficienti di probabilità

e di gravità.

4 – Identificazione delle soluzioni e delle misure di sicurezza

individuare le possibili soluzioni per i vari rischi censiti e valutare i costi e i benefici.

5 – Approvazione delle decisioni e registrazione dei risultati

sarebbe opportuno verbalizzare i vari passi seguiti nel processo decisionale e chi li ha

approvati.

6 – Integrazione dei risultati del PIA nel piano di progetto

la DPIA va allegata e integrata al piano di progetto.

La stesura di un DPIA

16/05/2018 48



• Un trattamento è legittimo se è sicuro, art.5.1f, da cui deriva che "è illegittimo

trattare dati personali se prima non si è valutato il rischio del trattamento" (è la

base di legittimità del trattamento)

• Nella valutazione d'impatto non c'è l'interessato

• La responsabilità è tutta di chi sta disegnando il trattamento, cioè l'attenzione

si sposta sul trattamento

• Se c'è la DPIA è perché c’è un'analisi del rischio

• Il DPO deve partecipare alla valutazione del rischio perché può anche dire che

è inadeguata.

• Nella valutazione della criticità dei trattamenti il titolare deve scrivere perché fa

o perché non fa la DPIA, con le relative motivazioni.

• Nel sito aziendale deve essere scritto che è stata fatta la DPIA (attenzione alle

responsabilità delle false dichiarazioni)

Punti fondamentali

16/05/2018 49



• Una DPIA è un processo inteso a garantire e dimostrare la conformità del

trattamento:

– rispetto dei requisiti

– evidenza delle misure adeguate per garantire il rispetto

• Inosservanza dei requisiti sanzioni (fino a 10M€ / 2%)

• Una DPIA può essere effettuata sia per un singolo che per una serie di

trattamenti, aventi tra loro medesime caratteristiche

• La DPIA deve essere redatta e pubblicata, da parte del titolare, prima dell’inizio

del trattamento, nonché previa consultazione, ove necessario (artt. 35.2 e

35.9), del DPO e degli interessati.

Punti fondamentali

16/05/2018 50



Una valutazione d'impatto sulla protezione dei dati può essere altresì utile

per valutare l'impatto sulla protezione dei dati di un prodotto tecnologico,

ad esempio un dispositivo hardware o un software, qualora sia probabile che lo

stesso venga utilizzato da titolari del trattamento distinti per svolgere tipologie

diverse di trattamento. Ovviamente, il titolare del trattamento che utilizza detto

prodotto resta soggetto all'obbligo di svolgere la propria valutazione d'impatto

sulla protezione dei dati in relazione all'attuazione specifica, tuttavia tale

valutazione del titolare del trattamento può utilizzare le informazioni fornite da

una valutazione analoga preparata dal fornitore del prodotto, se opportuno. Un

esempio potrebbe essere rappresentato dalla relazione tra produttori di

contatori intelligenti e società fornitrici di servizi pubblici. Ogni fornitore di

prodotti o responsabile del trattamento dovrebbe condividere informazioni utili

senza compromettere i segreti né generare rischi per la sicurezza, divulgando

vulnerabilità.

DPIA di prodotti tecnologici

16/05/2018 51








5. In carico a ….

6. Le metodologie


8. Conclusioni

Agenda

16/05/2018 52



Privacy Impact Assessment

16/05/2018 53



Privacy Impact Assessment

Many methods available

16/05/2018 54



DPIA METHODOLOGY

16/05/2018 55


www.itgovernance.co.ukwww.itgovernance.co.uk

http://www.itgovernance.co.uk/

http://www.itgovernance.co.uk/


16/05/2018 56







5. In carico a ….

6. Le metodologie


8. Conclusioni

Agenda

16/05/2018 57



Quale strumento usare?

16/05/2018 58



16/05/2018 59


https://iapp.org/resources/apia/

https://iapp.org/resources/apia/


16/05/2018 60


www.agpd.es

http://www.agpd.es/


CNIL - PIA

16/05/2018 61



In pratica cosa si fa? (1/3)

pag. 62


"Principi di Privacy by Design e by Default" – Andrea Praitano

Denominazione

trattamento

Tipologia del

trattamentoDescrizione trattamento Responsabilità legate al trattamento

Strutture coinvolte nella

gestione del trattamentoTipologia di dati trattati

Data inizio

trattamento

Data di fine

trattamento

Criticità

(SI/NO)Motivazione se non critica

Gestione del personale Titolare

Il Trattamento è relativo alla

gestione delle informazioni del

personale dipendente di

ORGANIZZAZIONE dal momento

dell'assunzione fino al momento

del termine volontario o coatto del

rapporto di lavoro.

Il Trattamento include la gestione della formazione del personale

dipendente per le diverse tematiche generali all'organizzazione (ad

es. sicurezza sul luogo di lavoro). Il Trattamento include la

gestione e pianifcazione delle visite mediche di sorveglianza dei

lavoratori ma non le relative cartelle cliniche che sono mantenute

da parte del medico competente. Il Trattamento gestisce anche le

informazioni relative alle presenze ed assenze ordinarie (ferie e

permessi) che quelle non ordinarie (malattie, assenze

ingiustif icate, accesso a permessi Legge 104, ecc.). Il Trattamento

gestisce anche dati sensibili derivanti da certif icati medici che

attestano riduzione temporanea o permanente delle capacità

lavorative del personale dipendente.

• Direzione risorse umane

• Gestione dei sistemi informativi

Dati personali diretti:

• nome e cognome

Dati personali indiretti:

• Codice Fiscale

• fotografie

• numeri di matricola

• numeri telefonici

• indirizzi email

Dati Sensibili:

• appartenenza a categorie protette

• iscrizione a sindacati

• malattie

• limitazioni f isiche temporanee e/o permanenti

Dati giudiziari:

• pignoramento quinto dello stipendio

Pre-esistente al

25/05/2018In corso SI

Amministrazione e

contabilitàTitolare


gestione amministrativa e

contabile dell'ORGANIZZAZIONE.

Il Trattamento include la gestione amministrativa e contabile di

ORGANIZZAZIONE, il Trattamento gestisce anche il compenso del

personale del Consiglio di Amministrazione e i relativi dati

necessari.

• Amministrazione

• Gestione dei sistemi Informativi

Dati di entità giuridiche:

• Ragione sociale

• partita IVA

• indirizzo


• nome e cognome


• numeri telefonici

• indirizzi email

Pre-esistente al

25/05/2018In corso NO

Sono gestiti prevalentemente dati di entità

giuridiche, i dati personali presente nel

trattamento sono i riferimenti di persone

fisiche e comunque dati personali

classif icabili come comuni (nome, cognome,

numero di telefono aziendale, numero

cellulare aziendale, indirizzo mail, ecc.).

Videosorveglianza Titolare

Il Trattamento è relativo al

servizio di videosorveglianza

delle sedi e dei magazzini.

Il Trattamento include la gestione del servizio di video sorveglianza

delle sedi di ORGANIZZAZIONE. Il Trattamento include sia la

sorveglianza esterna alle sedi che quella interna su alcune punti

ritenuti critici.

• Direzione dei Sistemi

Informativi


• immagini

• video

Dati sensibili (potenziali):

• stato di salute

• razza/etinia

• fede religiosa

Pre-esistente al

25/05/2018In corso SI

Sicurezza fisica e gestione

accessiTitolare


gestione della sicurezza fisica

della sede ORGANIZZAZIONE

nonché degli ingressi presso la

sede.

Il Trattamento include la sicurezza fisica perimetrale della sede

ORGANIZZAZIONE e la gestione degli accessi del personale non

dipendente presso la sede ORGANIZZAZIONE.

•


• nome e cognome


• numero documento di identità

• documento di identità

Pre-esistente al

25/05/2018In corso NO

Sono gestiti prevalentemente dati personali

classif icabili come comuni (nome, cognome,

ecc.). I documenti di identità sono presi solo

in visione.

…… …. … …. … … … … … …

16/05/2018



pag. 63



16/05/2018



pag. 64



16/05/2018






5. In carico a ….

6. Le metodologie


8. Conclusioni

Agenda

16/05/2018 65



16/05/2018 66



16/05/2018 67



Grazie per l’attenzione!

16/05/2018 68


mailto:[email protected]

mailto:[email protected]

Documents

Analisi dei rischi e valutazione GDPR Downloader.pdf · sistemi di gestione della sicurezza, governance e sicurezza delle informazioni nelle organizzazioni, ... un'analisi del rischio