privacy e protezione del dato. gli adempimenti del nuovo regolamento ue 679/2016 - lino fornaro

ICT Security e Risk assessmentsecondo il Regolamento UE 679/2016

Lecce, 3 Marzo 2017

Relatore: Lino Fornaro, Senior Security Consultant, Evolumia Srl

Senior Security Consultant in EVOLUMIA SRL

Lead Auditor ISO/IEC 27001:13

OSSTMM PROFESSIONAL SECURITY TESTER - OPST

OSSTMM PROFESSIONAL SECURITY ANALYST - OPSA

ISECOM Certified Trainer

Certificato ICT Security Manager – registro AICQ Sicev

Docente Master sulla Sicurezza (ICS) presso TILS - L’Aquila

Relatore in conferenze di sensibilizzazione sul tema ICT Security

Esperto Normativa Italiana Privacy (DLgs 196/03)

Esperto normative europee Cybersecurity

Membro Comitato Direttivo CLUSIT

Membro Comitato Tecnico Scientifico AICQ Sicev “Uni 11506

Certificazioni informatiche”

Membro sottocommissione SC27 di UNINFO

Socio Fondatore, membro Advisory Board di ANORC

Membro Coordinamento ANORC PRIVACY

$whois Lino Fornaro

Regolamento Europeo: Principali novità

Rafforzata la trasparenza dei trattamenti (Informazioni più chiare e

complete)

Rafforzato il controllo sui propri dati (nuove modalità di gestione

del consenso e diritto all’oblio)

Limiti alla decisioni che hanno effetti giuridici basate su trattamenti

automatizzati

Diritto alla portabilità dei dati nel mercato digitale

Più responsabilità per le imprese

Unico insieme di norme in tutti gli stati dell’UE

Semplificazioni per i soggetti che offrono maggiori garanzie

Regolamento Europeo: nuovo approccio alla protezione del dato

Adeguamento delle misure di sicurezza al nuovo contesto:

nuove tecnologie ed evoluzione del cyber crime

Enfatizzati i principi della vecchia direttiva EU

Richiesto un approccio sistemico alla sicurezza e alla

protezione del dato

Richiamo alla RISK ANALISYS diffuso (misure di sicurezza,

PIA)

Richiesta l’efficacia e l’adozione preventiva

Richiesta la rilevazione e la denuncia delle violazioni alla

sicurezza (Data Breach)

Ricorso alla Certificazione come strumento per la compliance

D.Lgs 196/03: Principio di necessità nel trattamento dei dati

Art. 3.

1. I sistemi informativi e i programmi informatici sono

configurati riducendo al minimo l'utilizzazione di dati personali

e di dati identificativi, in modo da escluderne il trattamento

quando le finalità perseguite nei singoli casi possono essere

realizzate mediante, rispettivamente, dati anonimi od

opportune modalità che permettano di identificare

l'interessato solo in caso di necessità.

Art.25 Protezione dei Dati sin dalla progettazione (PRIVACY by Design)

Tenuto conto dello stato dell’arte e dei costi di attuazione,

nonché della natura, dell’ambito di applicazione, del contesto

e delle finalità del trattamento…

..come anche dei rischi aventi probabilità e gravità diverse

per i diritti e le libertà delle persone fisiche….

..sia al momento di determinare i mezzi del trattamento sia

all’atto del trattamento stesso

Il titolare del trattamento mette in atto misure techiche ed

organizzative adeguate, quali la pseudonimizzazione, volte

ad attuare in modo efficace i principi di protezione dei dati,

quali la minimizzazione, .......

Art.25 … e protezione per impostazione predefinita(PRIVACY by Default)

Il titolare mette in atto misure tecniche e organizzative

adeguate per garantire che siano trattati, per impostazione

predefinita, solo i dati personali necessari per ogni specifica

finalità di trattamento, …..

... In particolare dette misure garantiscono che, per

impostazione predefinita, non siano resi accessibili dati

personali ad un numero indefinito di persone fisiche senza

l’intervento della persona fisica.

Un meccanismo di certificazione approvato ai sensi

dell’art.42 può essere utilizzato come elemento per

dimostrare la conformità ai requisiti......

Pseudonimizzazione ?

Il trattamento di dati personali in modo tale che i dati

personali non possano essere attribuiti a un interessato

specifico senza l’utilizzo di informazioni aggiuntive, a

condizione che tali informazioni aggiuntive siano conservate

separatamente e soggette a misure tecniche e organizzative

intese a garantire che tali dati personali non siano

attribuiti a una persona fisica identificata o

identificabile.

ATTENZIONE: DIVERSO DAL DATO ANONIMO

Art.32 Sicurezza del trattamento

Tenendo conto dello stato dell’arte e dei costi di attuazione,

nonché

• della natura

• dell’oggetto

• del contesto

• delle finalità del trattamento

come anche del rischio di varia probabilità e gravità per i diritti e

le libertà delle persone fisiche

Il titolare del trattamento e il responsabile del trattamento mettono

in atto misure tecniche e organizzative adeguate per garantire un

livello di sicurezza adeguato al rischio, che comprendono, tra le

altre, se del caso:

RIS

K A

NA

LIS

YS


a) La pseudonimizazione e la cifratura dei dati personali; (utile in caso di data breach)

b) La capacità di assicurare su base permanente la riservatezza,

l’integrità, la disponibilità e la resilienza dei sistemi e dei

servizi di trattamento;(capacità di adattamento a condizione d’uso e resistenza a situazioni avverse per garantire disponibilità dei servizi erogati)

a) La capacità di ripristinare tempestivamente la disponibilità e

l’accesso dei dati personali in caso di incidente fisico o tecnico;(procedure di DR e incident response)

b) Una procedura per testare, verificare e valutare regolarmente

l’efficacia delle misure tecniche e organizzative al fine di

garantire la sicurezza del trattamento(come per la iso 27001)

RIS

K A

NA

LIS

YS

, D

R,

IS

O


2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in

special modo dei rischi presentati dal trattamento che derivano in

particolare dalla distruzione, dalla perdita, dalla modifica, dalla

divulgazione non autorizzata o dall’accesso, in modo

accidentale o illegale, a dati personali trasmessi, conservati o

comunque trattati.

3. L’adesione ad un codice di condotta approvato di cui all’art.40 o

a un meccanismo di certificazione approvato di cui all’art.42

può essere utilizzata come elemento per dimostrare la conformità

ai requisiti di cui al paragrafo 1 del presente articolo

RIS

K A

NA

LIS

YS

Art.33 Notifica di una violazione dei dati personali all’autorità di controllo

In caso di 1. violazione dei dati personali, il titolare del

trattamento notifica la violazione all’autorità di controllo ….

senza ingiustificato ritardo ...entro 72 ore(*) dal momento in

cui è venuto a conoscenza, a meno che sia improbabile

che la violazione dei dati personali presenti un rischio

per i diritti e le libertà delle persone fisiche (**)

DA

TA

BR

EA

CH

(*) Misure tecniche

che individuino la

violazione e

notifichino il titolare

(**) ricorso alla

cifratura, a patto

che le chiavi

crittografiche siano

al sicuro (e non sui

sistemi violati)


La notifica d cui al paragrafo 1 deve almeno:

Descrivere la a) natura della violazione dei dati personali

compresi, ove possibile, le categorie e il numero

approssimativo di interessati in questione nonché le

categorie e il numero approssimativo di registrazioni di dati

personali in questione;

Comunicare il nome e i dati di contatto del responsabile della b)

protezione dei dati o di altro punto di contatto presso cui

ottenere informazioni;

DA

TA

BR

EA

CH


La notifica d cui al paragrafo 1 deve almeno:

Descrivere le c) probabili conseguenze della violazione (*) dei

dati personali

Descrivere le d) misure adottate o di cui si propone l’adozione da

parte del titolare per porre rimedio alla violazione dei dati

personali e anche, se del caso, per attenuare i possibili effetti

negativi (**)

DA

TA

BR

EA

CH

(*) la Risk Analisys

dovrebbe aver contemplato

e misurato questo rischio e

determinato le misure

preventive

(**) un piano di Risposta

agli incidenti e una

strategia di gestione della

crisi sono fortemente

consigliate

Art.34 Comunicazione di una violazione dei dati personali all’interessato

1. Quando la violazione di dati personali è suscettibile di

presentare un rischio elevato per i diritti e le libertà

delle persona fisiche, il titolare del trattamento comunica la

violazione all’interessato senza ingiustificato ritardo

La comunicazione all2. ’interessato …. descrive con un

linguaggio semplice e chiaro la natura della violazione

dei dati personali e contiene almeno le informazioni e le

raccomandazioni di cui all’art.33, par.3 lettere b) c) e d).

DA

TA

BR

EA

CH


3. Non è richiesta la comunicazione all’interessato… se è

soddisfatta una delle seguenti condizioni:

a) Il titolare ha messo in atto le misure tecniche e

organizzative adeguate di protezione e tali misure erano

state applicate ai dati personali oggetto della violazione,

in particolare quelle destinate a rendere i dati personali

incomprensibili a chiunque non sia autorizzato ad accedervi,

quali la cifratura.

DA

TA

BR

EA

CH


b) Il titolare del trattamento ha successivamente adottato misure

atte a scongiurare il sopraggiungere di un rischio elevato per i

diritti e le libertà degli interessatindi cui al par.1

c) detta comunicazione richiederebbe sforzi sproporzionati. In tal

caso, si procede invece a una comunicazione pubblica o a una

misura simile, tramite la quale gli interessati sono informati con

analoga efficacia.

DA

TA

BR

EA

CH

Una strategia di

comunicazione che tuteli

l’immagine e che preservi il

business aziendale è

necessaria


Danni fisici, materiali, morali

Perdita del controllo dei dati

Discriminazione

Furto o usurpazione d'identità

Decifratura non autorizzata della pseudonimizzazione

Pregiudizio alla reputazione

Perdita di riservatezza dei dati protetti da segreto professionale

Perdite finanziarie

Etc.

DA

TA

BR

EA

CH

Paragrafo 1

Quando un tipo di trattamento, allorché prevede in particolare l’uso

di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le

finalità del trattamento, può presentare un rischio elevato per i

diritti e le libertà delle persone fisiche, il titolare del

trattamento effettua, prima di procedere al trattamento, una

valutazione dell’impatto dei trattamenti previsti sulla

protezione dei dati personali. Una singola valutazione può

esaminare un insieme di trattamenti simili che presentano rischi

elevati analoghi.

Art.35 Valutazione d’impatto sulla protezione dei dati (PIA)

La valutazione è richiesta in particolare nei seguenti casi:

• Una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione….

• Il trattamento, su larga scala, di categorie particolari di dati personali, di cui all’art.9 par.1, o di dati relativi a confanne penali e a reati di cui all’art.10 ...

• La sorveglianza sistematica su larga scala di una zona accessibile al pubblico

L’autorità redige e rende pubblico un elenco delle tipologie di trattamenti soggetti alla valutazione d’impatto…

Art.35 Valutazione d’impatto sulla protezione dei dati

La valutazione d’impatto contiene almeno:

Una descrizione sistematica dei trattamenti previsti e delle finalità di •trattamento, compreso, se del caso, l’interesse legittimo perseguito dal titolare del trattamento;

Una valutazione della necessità e proporzionalità dei trattamenti in •relazione alle finalità;

Una• valutazione dei rischi per i diritti e le libertà degli interessati …

• Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezionedei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione

Art.35 Valutazione d’impatto sulla protezione dei dati

La PIA è uno strumento per indirizzare i potenziali impatti sulla privacy di un processo, un sistema informativo, un programma, un modulo software, un device o qualunque altra iniziativa che tratterà dati personali (PII – Personal IdentifiableInformation) e , in accordo con gli stakeholders, per adottare le azioni necessarie a trattare i rischi privacy.

E’ un processo che inizia nelle fasi embrionali di una iniziativa, quando ci sono ancora opportunità di influenzare l’esito e garantire la Privacy by Designì

Perché fare un PIA (quando non richiesto)

identificare gli • impatti, i rischi e le responsabilità sulla privacy;

Fornire • input per la progettazione per la tutela della privacy

Esaminare i rischi privacy di un nuovo sistema informativo e •valutarne gli impatti e le probabilità;

Gestire gli aggiornamenti successivi o l• ’aggiunta di nuove funzionalità che potrebbero impattare sui dati personali che sono trattati;

Condividere e mitigare i rischi privacy con gli • stakeholders, o fornire evidenza di compliance


• Evitare costi inutili

• Scongiurare perdita di fiducia e reputazione

• Informare il responsabile delle strategie di comunicazione

• Soddisfare e superare i requisiti legali


Riservatezza info relative alla persona •(Data e info privacy)

Riservatezza della persona •(integrità fisica, biometria, perquisizioni, vaccinazioni, etc)

Privacy comportamenti personali •(videosorveglianza, preferenze sessuali, politiche, “media”)

Riservatezza comunicazioni personali•(intercettazioni, monitoraggi, mail, etc)

PIA: What means privacy

Identificazione degli impatti che il • “progetto” ha sulla privacy;

Valutazione deli impatto dal punto di vista di tutti gli •stakeholder (rif. Art 35 p 9);

Comprensione del livello di accettazione del progetto •e delle sue caratteristiche/featuresdall’organizzazione e dalle persone interessate (loro rappresentanti);

PIA: OUTPUT

Identificazione delle alternative meno invasive per •la privacy;

Chiarezza sulle esigenze aziendali che hanno •effetti negativi sulla privacy e che non sono evitabili (accettazione del rischio residuo)

Documentazione e pubblicazione dei • risultati

Necessità di una • “consultazione preventiva”

PIA: OUTPUT

La Responsabilità di condurre una PIA è solitamente in capo ad un

Senior Executive Level

con lead su Risk Management, Audit e Compliance

Il regolamento Europeo richiede per tale compito l’intervento del

Data Protection Officer

PIA: CHI la conduce

1. Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’art.35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio

Art.36 Consultazione Preventiva

In concreta attuazione del “principio di accountability”, tramite

l’esecuzione della Valutazione di Impatto, se il risultato non è

quello di un rischio elevato, si possono evitare gli obblighi

amministrativi di consultazione preventiva dell’autorità.

2. Se ritiene che il trattamento previsto di cui al par.1 violi il presente regolamento, in particolare qualora il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, l’autorità di controllo fornisce, entro un termine di otto settimane dal ricevimento della richiesta di consultazione, un parere scritto al titolare del trattamento e può avvalersi dei poteri di cui all’art.58. Tale periodo può essere prorogato di sei settimane, tenendo conto della complessità del trattamento previsto. L’autorità di controllo informa il titolare del trattamento …omississ... entro un mese dal ricevimento della richiesta ...omississ...


In assenza di un riscontro nei tempi di cui al par.2 il titolare può

procedere al trattamento adottando tutte le misure previste per

attenuare il rischio, fatto salvo il potere dell’autorità di intervenire

anche in seguito, anche bloccando il trattamento ma senza poter

notificare al titolare una violazione dell’art.36

3. Al momento di consultare l’autorità di controllo ai sensi del par.1, il titolare del trattamento comunica all’autorità di controllo:

a) Se del caso, le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei responsabili del trattamento, in particolare relativamente al trattamento nell’ambito di un gruppo imprenditoriale;

b) Le finalità e i mezzi del trattamento previsto

c) Le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del presente regolamento;

d) Se del caso, i dati di contatto del titolare della protezione dei dati;

e) La valutazione di impatto sulla protezione dei dati di cui all’art.35;

f) Ogni altra informazione richiesta dall’autorità di controllo


ISO 29100 - PRIVACY FRAMEWORK

ISO 29134 -PRIVACY Impact Assessment

ISO 29151 - PRIVACY Code of Practice for PII protection

STANDARD E NORME ISO

PR

IV

AC

Y M

AN

AG

EM

EN

T

• 1.Consent and choice

• 2.Purpose legitimacy and specification

• 3.Collection limitation

• 4.Data minimization

• 5.Use, retention and disclosure limitation

• 6.Accuracy and quality

• 7.Openness, transparency and notice

• 8.Individual participation and access

• 9.Accountability

10• .Information security

11• .Privacy compliance

ISO 29100 - Principi

PR

IV

AC

Y P

RIN

CIP

I

Metodologia per condurre un Privacy Impact Assessment funzionale a:

• identificare rischi relativi alla privacy e responsabilità collegate

• fornire input per la progettazione di sistemi ("privacy by design")

• riesaminare l'impatto sulla protezione delle PII di un sistema nuovo oppure soggetto a modifiche significative

• allocare risorse per il contenimento di impatti sulla privacy

• fornire informazioni su ambiti in cui la protezione dei dati personali è un tema chiave

• fornire evidenza di conformità dove questa è richiesta

• fornire evidenza ai PII principal delle misure di protezione presenti sul trattamento delle loro PII

ISO 29134

ISO 29151

GRAZIE per l’attenzione

Lino [email protected]

PARTNER

mailto:[email protected]

privacy e protezione del dato. gli adempimenti del nuovo regolamento ue 679/2016 - lino fornaro

Law