19 Edizione Forum ICT Security · Edizione Forum ICT Security. ... Provvedimento del Garante n °...

Data Breaches & GDPR: dalla normativa alla norma(lità) attivaPrecetti normativi e scenari operativi percorribili

Leonardo SCALERA - Roma – 24 Ottobre 2018

19° Edizione Forum ICT Security

Di cosa parleremo …


o Premessa ed excursus normativo (… un po’ di storia …)

o Violazione di dati personali – Definizione

o Articolo 33 GDPR: Notifica di una violazione dei dati personali all’autorità di controllo

o Articolo 34 GDPR: Comunicazione di una violazione dei dati personali all’interessato

o Articolo 32 GDPR:Sicurezza del Trattamento: misure preventive e misure adeguate

o Ma allora come mai ? …Panoramica / Cause / Conseguenze / (Possibili) Soluzioni

Premessa …

2014• 7.095 billion (Total world population)• 2.484 billion (Internet Users)





+ 61,88%Incremento

Utenti internet

+ 72,20%Incremento

Social Network Users


Premessa … (dal 2013 in poi) …


D.Lgs. 196/03 ( Codice Privacy ) – Art. 32-bis(introdotto dall’art. 1 c. 3 D.Lgs. 69/12)

“ Adempimenti conseguenti ad una violazione di dati personali ”(esclusivo per i fornitori di servizi di comunicazione elettronica accessibili al pubblico)

Comma 2: obbligo di comunicare senza indebiti ritardi al Garante la violazione di dati personali da essidetenuti. Nei casi i cui dalla violazione possa derivare pregiudizio ai dati personali o allariservatezza di un contraente o altra persona, il fornitore dovrà comunicare l’avvenutaviolazione anche a tali soggetti;

Comma 3: la comunicazione di cui al comma 2 non è dovuta se il fornitore ha dimostrato al Garante diaver utilizzato misure che rendono i dati inintellegibili a chiunque non sia autorizzato adaccedervi e che tali misure erano state applicate ai dati oggetto della violazione;

Comma 4: ove il fornitore non vi abbia provveduto, il Garante può, considerate le presumibiliripercussioni negative della violazione, obbligare lo stesso a comunicare al contraente o adaltra persona l’avvenuta violazione;

… excursus normativo …. da dove veniamo …


Regolamento UE n° 611/2013 del 24 Giugno 2013“ Sulle misure applicabili alla notifica delle violazioni di dati personali a norma della

direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche”

La finalità del Regolamento è quella di prevedere un sistema di notifica delle violazioni di dati personaliall’autorità nazionale che comporti, in presenza di determinate condizioni, fasi ben determinate conscadenze ben definite.

Art. 2 - Comma 2: il fornitore notifica all’autorità nazionale competente la violazione di dati personalientro il termine di 24 ore a partire dal rilevamento della violazione , ove possibile;

Art. 3 – Comma 1: quando la violazione di dati personali rischia di pregiudicare i dati personali o la vitaprivata di un abbonato o di altra persona, in aggiunta alla notifica di cui all’Art. 2 ilfornitore comunica l’avvenuta violazione all’abbonato o altra persona;

Comma 2: (Valutazione del pregiudizio) natura e contenuto dei dati personali interessati(finanziari, particolari, ubicazione, connessioni a internet, cronologia dinavigazione, dati relativi alla posta elettronica, elenchi chiamate), in caso di furtoeventuali danni “collaterali” ( immagine, reputazione), circostanze (furto,distruzione, possesso da parte di soggetto non autorizzato)




SOCIETA’ TELEFONICHE E INTERNET PROVIDER

Provvedimento del Garante n° 161 del 4 Aprile 2013

In caso di violazione di dati personali: comunicazione entrole 24 ore dalla scoperta dell’evento; entro 3 giornicomunicazione a ciascun utente coinvolto;

BIOMETRIAProvvedimento del Garante n° 513 del 12 Nov. 2014

In caso di violazione di dati personali o incidenteinformatico: comunicazione entro le 24 ore dalla scopertadell’evento;

DOSSIER SANITARIO ELETTRONICOProvvedimento del Garante n° 331 del 4 Giugno 2015

In caso di violazione di dati personali o incidenti informatici:comunicazione entro le 48 ore dalla scoperta dell’evento;

AMMINISTRAZIONI PUBBLICHE Provvedimento del Garante

n° 392 del 2 Luglio 2015

In caso di violazione di dati personali oincidenti informatici: comunicazione entrole 48 ore dalla scoperta dell’evento;


Regolamento (UE) 2016/679 del parlamento Europeo e del Consiglio del 24 Aprile 2016

Art. 4 – Comma 12: VIOLAZIONE DATI PERSONALI

violazione di sicurezza che comporta accidentalmente o in modoillecito la distruzione, la perdita, la modifica, la divulgazione nonautorizzata o l’accesso ai dati personali trasmessi, conservati ocomunque trattati (CONSIDERANDO 85)

Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo,provocare danni fisici, materiali o immateriali alle persone fisiche ( es. limitazione di diritti,furto/usurpazione di identità, pregiudizio alla reputazione, perdite finanziarie) […] .

Il Titolare del Trattamento, pertanto, senza giustificato ritardo e ove possibile, entro 72 ore dalmomento in cui è venuto a conoscenza dell’evento, dovrebbe provvedere alla notifica dellaviolazione dei dati all’autorità di controllo competente, salvo poter dimostrare in base alprincipio di responsabilizzazione, che è improbabile che la violazione presenti un rischio per idiritti e la libertà delle persone fisiche.

… excursus normativo …. dove siamo …



Art. 4 – Comma 12: VIOLAZIONE DATI PERSONALI

violazione di sicurezza che comporta accidentalmente o in modoillecito la distruzione, la perdita, la modifica, la divulgazione nonautorizzata o l’accesso ai dati personali trasmessi, conservati ocomunque trattati

Art. 33 – Notifica di una violazione deidati personale all’autorità di controllo

Art. 34 – Comunicazione di unaviolazione dei dati personaliall’interessato



Art. 33 Notifica di una violazione dei dati personali all’autorità di controllo

In caso di violazione dei dati personali, il titolare del trattamento NOTIFICA LA VIOLAZIONEall’autorità di controllo competente a norma dell’art. 55 SENZA GIUSTIFICATO RITARDO e, ovepossibile, ENTRO 72 ORE dal momento in cui ne è venuto a conoscenza, a meno che siaimprobabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà dellepersone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, ècorredata dei motivi del ritardo (Comma 1).

CONSIDERANDO 87E’ opportuno verificare se siano state messe in atto lemisure tecnologiche e organizzative adeguate di protezioneper stabilire immediatamente se c’è stata violazione dei datipersonali e avvisare l’autorità di controllo.

È importante la comunicazione senza ingiustificatoritardo specie in merito a NATURA e GRAVITA’ dellaviolazione in quanto ne potrebbe scaturire un interventodell’autorità nell’ambito dei suoi compiti e poteri.

CONSIDERANDO 88Nel definire modalità dettagliate relative a formato eprocedure applicabili alla notifica delle violazioni dei dati, èopportuno tenere debitamente conto delle circostanze ditale violazione (i dati erano protetti o meno con misuretecniche adeguate atte a limitare efficacemente il rischiofurto o altre forme di abuso) […].



Art. 33 Notifica di una violazione dei dati personali all’autorità di controllo

CONTENUTO minimo della NOTIFICA

• Natura della violazione dei dati personali compresi ove possibile categorie e numero approssimativo degliinteressati nonché numero approssimativo di registrazione di dati in questione;

• Nome e dati del RPD o altro punto di contatto per informazioni;

• Probabili conseguenze della violazione;

• Misure adottate o che si propone di adottare il titolare per porre rimedio alla violazione o attenuare ipossibile effetti negativi;

• In caso di impossibilità a fornire tutti i dati richiesti che saranno forniti in fasi successive senza ritardoingiustificato;

• Il titolare documenta qualsiasi violazione dei dati, comprese circostanze , conseguenze e provvedimentiadottati per porvi rimedio.



Art. 34 Comunicazione di una violazione dei dati personali all’interessato

Quando la violazione dei dati personali è suscettibile di presentare un RISCHIO ELEVATO per i diritti ele libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senzagiustificato ritardo (Par. 1)

La comunicazione all’interessato di cui al Par. 1 del presente articolo descrive con un linguaggio semplice echiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cuiall’art. 33, par. 3, lett. b), c), d).

NON è RICHIESTA la comunicazione all’interessato di cui al Par. 1 se è soddisfatta UNA delle seguenticondizioni:a) Il titolare del trattamento ha messo in atto le misure tecniche e organizzative ADEGUATE di protezionee tali misure sono state applicate ai dati oggetto della violazione (in particolare quelle atte a rendere i datipersonali incomprensibili a chiunque non sia autorizzato ad accedervi - es. cifratura -).

b) Il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungeredi rischio elevato per i diritti e le libertà degli interessati.

c) Detta comunicazione richiederebbe sforzi spropositati ( in tal caso si ricorre a comunicazionepubblica o misura simile)



Art. 34 Comunicazione di una violazione dei dati personali all’interessato

CONSIDERANDO 86

Il titolare del trattamento dovrebbe comunicareall’interessato la violazione dei dati personali senzaindebito ritardo, qualora la violazione dei dati siasuscettibile di presentare rischio elevato per i diritti e lelibertà della persona fisica al fine di consentirgli diprendere le precauzioni necessarieLa comunicazione dovrebbe descrivere natura dellaviolazione e formulare raccomandazione per le personefisiche interessate volte ad attenuare i potenziali effettinegativi.Tali comunicazioni dovrebbero essere inviate appenapossibile e in stretta collaborazione con l’autorità dicontrollo e nel rispetto degli orientamenti da essa (o daaltre) impartite.

CONSIDERANDO 88

Nel definire modalità dettagliate relative a formato eprocedure applicabili alla notifica delle violazioni dei dati,è opportuno tenere debitamente conto delle circostanzedi tale violazione (i dati erano protetti o meno conmisure tecniche adeguate atte a limitareefficacemente il rischio furto o altre forme diabuso) […].

FONDAMENTALI …..

MISURE IDONEE di SICUREZZA


GRUPPO di LAVORO ARTICOLO 29 per la Protezione dei DatiLinee Guida sulla notifica delle violazioni dei dati personali

Ai sensi del Regolamento (UE) 2016/679(03 ottobre 2017 – emendate e adottate il 06 febbraio 2018)

VIOLAZIONE DATI PERSONALI INCIDENTE DI SICUREZZA

Gli incidenti di sicurezza NON SONO tutti violazioni di dati personali

Le violazioni di dati personali SONO tutti incidenti di sicurezza

1) VIOLAZIONI DELLA RISERVATEZZA = In caso di divulgazione dei dati personali o accesso agli stessi accidentali o non autorizzati;

2) VIOLAZIONI DELL’INTEGRITA’ = In caso di modifica non autorizzata o accidentale dei dati personali;

3) VIOLAZIONI DELLA DISPONIBILITA’ = In caso di perdita, accesso o distruzione accidentale o non autorizzati di dati personali;


MISURE IDONEE di SICUREZZAFONDAMENTALI …..

MISURE idonee preventive da adottare per evitare violazioni di dati Rendere i dati trattati immediatamente non disponibili per ulteriori elaborazioni da

parte dei sistemi informativi al termine delle attività svolte e nelle quali gli stessi sonocoinvolti( Provvedere alla cancellazione, trasformazione in forma anonima con tempistiche compatibili con leprocedure informatiche nei data base, nei sistemi di elaborazione utilizzati per i trattamenti, neisistemi e supporti utilizzati per la realizzazione di copie e di sicurezza anche con il ricorso a tecniche dicrittografia o di anonimizzazione);

Porre particolare attenzione ai dispositivi mobili predisponendo specifiche misure disicurezza in grado di mitigare il rischio connesso alla portabilità dell’apparato e diassicurare agli stessi livelli di sicurezza analoghi a quegli degli altri dispositiviinformatici( In considerazione che con elevata frequenza le violazioni di sicurezza riguardano dispositivi mobiliutilizzati da dipendenti/collaboratori anche al di fuori dell’azienda si tratta di una misuraNECESSARIA)



Art. 32 Sicurezza del trattamento

MISURE idonee preventive da adottare per evitare violazioni di dati

Procedere ad una adeguata pianificazione adottando e attuando misure tecniche edorganizzative appropriate per garantire livelli di sicurezza appropriati in riferimentoai rischi presentati dai trattamenti ( da parte del Titolare del trattamento);

Predisporre un idoneo quadro di gestione dei rischi( Vanno definiti elementi minimi e una serie di controlli tecnici e organizzativi necessari a realizzarequesto tipo di approccio; particolare attenzione va applicata ai controlli atti a rendere incomprensibili idati nonché alle procedure di gestione delle violazioni dei dati che possano garantire una gestionerapida ed efficace)

La crittografia – come ulteriore misura di sicurezza – in caso di DATA BREACH – èmisura necessaria per evitare la comunicazione ai soggetti interessati






Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contestoe delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e lelibertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in attomisure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato alrischio, […] (Comma 1)

VALUTAZIONE DEI

RISCHI

DISTRUZIONE

PERDITA

MODIFICA

DIVULGAZIONE NON AUTORIZZATA

ACCESSO (accidentale o illegale) AI DATI

DISASTER RECOVERY

&BUSINESS

CONTINUITY

TESTVALUTAZIONE

EFFICACIAMISURE




Nel caso i trattamenti presentino un RISCHIO ELEVATO per i diritti e le libertà delle persone fisiche iltitolare del trattamento DEVE svolgere una valutazione di impatto sulla protezione dei dati perdeterminare in particolare: ORIGINI, NATURA, PARTICOLARITA’ e GRAVITA’ dei rischi.

Tecnologie disponibili / costi di attuazionetroppo elevati non consentono di attuaremisure per gestire il rischio elevato?

Presenza di RISCHIO ELEVATO e difattori collegati all’esito della valutazioned’impatto?

CONSULTAZIONE dell’AUTORITA’ di CONTROLLO

…. MA ALLORA COMA MAI …..


…. E TANTI … TANTI ALTRI ...


…. Qualche dato per farci un’idea di “cosa” parliamo …..


Fonte: Breach level index by Gemalto


…. ma le cause di tutto questo?....




Le cause possono essere molteplici

INTERNE(volontarie e non)

( dipendenti infedeli, dipendenti non preparati, errori accidentali, guasti)

ESTERNE(volontarie [e non])

( attivismo, pirateria, ignoti)



La tempistica per rilevareun attacco ha subito unsignificativo incremento nel2017 rispetto all’annoprecedente.

Media Globale


Fonte: M-Trend 2018 Report by FireEye

Si passa da una percentuale del 13% peruna tempistica di rilevamento di 7 giornifino anche alla necessità di un periodosuperiore ai 2000 giorni (3%) perrilevare una attacco/intrusione

Quali conseguenze? …


Fonte: M-Trend 2018 Report by FireEye

• Perdita dati e/o di Denaro• Danni reputazionali

• Perdita di fiducia dei clienti• Attività di help desk

• Attività di indagine (interna)• Spese legali

• Costi per il ripristino del/i sistema/i

DANNI ( COSTI) DIRETTI & INDIRETTI

I risultati variano sensibilmente con riferimento alla “dimensione” del Data Breach e alSettore di riferimento e, ovviamente, alle tempistiche di rilevamento / intervento /risoluzione ….


….. ma di che cifre parliamo ….

Costo pro-capite per settore

Fonte: 2018 Cost a Data Breach Study by IBM


COSTO(REALE)

di un Data Breach“Indagini” per determinare le cause di un Data Breach

“Indagini” per determinare le probabili vittime di un Data

Breach

Organizzazione di un efficace Incident Response TEAM

Predisposizione della documentazione inerenti le

comunicazioni sul Data Breach(Interessati/Autorità di controllo)

Implementazione supporto/assistenza soggetti

“vittime”

Operazioni dirette alla scoperta e rispostaad un eventuale Data Breach

Operazioni condottedopo la scoperta di un

eventuale Data Breach

Audit e servizi di consulenza

Spese Legali (compliance, difensive…)

Programmi di ri-fidelizzazione clienti

(vittime)

Perdita/risoluzione contratti/commesse

Costi per acquisizione ri-acquisizione clienti

SANZIONI(Artt. 83 – 84)


Art. 83 Condizioni generali per infliggere

sanzioni amministrative pecuniarie

fino a 10 000 000 EUR, o per le imprese,fino al 2 % del fatturato mondiale totaleannuo dell’esercizio precedente, se superiore.

• obblighi del titolare e responsabile del trattamento a norma artt. 8, 11, da 25 a 39, 42 e 43 [ consenso minori, trattamento che non richiede identificazione, privacy by design and by default, responsabile del trattamento, registri del trattamento, sicurezza dei dati personali, notifica di DPIA, DPO … ecc. ]

fino a 20 000 000 EUR, o per le imprese,fino al 4 % del fatturato mondiale totaleannuo dell’esercizio precedente, se superiore.

• principi base del trattamento, diritti degli interessati,inosservanza di un ordine dell’autorità di controllo,inosservanza obblighi di legge di uno Stato membro.

Comma 2: Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ognisingolo caso, […] Al momento di decidere se infliggere una sanzione amministrativa e pecuniaria e difissare l’ammontare […] si tiene conto dei seguenti elementi:

natura, gravità, durata della violazione in considerazione di natura oggetto o finalità del trattamentononché del numero degli interessati coinvolti e del livello di danno da essi subito, dolo o colpa,misure adottate per attenuare il danno, categorie di dati interessati, precedenti violazioni, grado dicooperazione con l’autorità di controllo e modalità di presa di conoscenza da parte di quest’ultima


Costo pro-capite per nazione Fonte: 2018 Cost a Data Breach Study by IBM

E’ possibile “migliorare”??

Fattori di miglioramento e riduzione costo pro-capite

Incident Response Team efficiente $ 14.0

Uso esteso e costante crittografia $ 13.1

Formazione costante personale $ 9.3

Uso di sistemi di analisi e sicurezza $ 6.9

Sistemi Gestione Continuità Operativa $ 9.3

Protezioni assicurative $ 4.8

SI



Fonte: IAPP-EY Annual Privacy Governance Report 2017

Costo pro-capite per nazione Fonte: 2018 Cost a Data Breach Study by IBM

E’ possibile “peggiorare”??

Fattori di RISCHIO ulteriore e aumento costo pro-capite

Coinvolgimento terze parti $ 13.4

Uso eccessivo di piattaforme mobili $ 10.0

Perdita o compromissione devices $ 6.5

Mancanze/errori procedure compliance $ 11.9

Errori nelle “notifiche” $ 4.9

Ricorso esteso (non conforme) cloud $ 11.9

SI



Data Breachsolo una

IPOTESI(remota)

• Valutazione rischi errata

• Formazione non costante/valida

• Sistemi di sicurezza non aggiornati

• Procedure di rilevazione/reazione fallati

•Mancanza di risorse economiche, perdita clienti

Evento (comune) di vita aziendale

• Puntuale valutazione rischi

• Formazione del personale costante di livello

• Sistemi di sicurezza aggiornati e testati

• Procedure di rilevazione/reazione testati eperiodicamente aggiornati

• Budget annuale ben definito

• Feedback positivo e fidelizzazione clienti

Accadimento reale e plausibile della “ vita aziendale ”


ECOSISTEMA “PRIVACY & DATA PROTECTION”

AZIENDALE

Approccio proattivo dell’organizzazione verso l’eventualità Data Breach

(applicazione sistemi di pseudonimizzazione /anonimizzazione, applicazione standard su disasterrecovery e business continuity con relativi test,verifica delle procedure di rilevazione/contrasto/risposta a violazioni, aggiornamentoformazione, rivalutazione del rischio, eventualerimodulazione del budget)

REAZIONE dell’organizzazione verso all’evento Data Breach

(rilevazione violazione a seguito di monitoraggio costante dei sistemie trattamenti, attivazione delle procedure secondo tempi, modalità econ i soggetti previsti, messa in atto delle misure atte a contenere idanni e ripristinare il grado di sicurezza, valutazione rapidadell’evento ai fini della notifica (Art. 33 – 34), tenuta del registro delleviolazioni /tentate violazioni, aggiornamento valutazione del rischiopost evento)

Considerare l’adeguamento/aderenza al GDPR come un processo dinamico e in

costante evoluzione ( coinvolgimento del Data Protection OFFICE nelleattività di analisi dei trattamenti, dei dati e soggetticoinvolti, analisi dei Sistemi IT e delle misure disicurezza già in essere, coinvolgimento del personale,formazione costante, definizione soglia accettazione delrischio, definizione budget )


Grazie per l’attenzione

Dott. Leonardo SCALERALocal DPO - Ministero della GiustiziaDipartimento Amm.ne Penitenziaria

E-mail: [email protected]

https://www.linkedin.com/in/leonardo-scalera-304150126

mailto:[email protected]

https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=2ahUKEwjOkqfIs4HeAhWLpYsKHQSJCDQQFjAAegQICBAB&url=https://www.linkedin.com/in/leonardo-scalera-304150126&usg=AOvVaw3fSZofEY1pLTSs4NeiQcJj

19 Edizione Forum ICT Security · Edizione Forum ICT Security. ... Provvedimento del Garante n °...

Documents

Transcript of 19 Edizione Forum ICT Security · Edizione Forum ICT Security. ... Provvedimento del Garante n °...