2 fornaro fiera del levante sicurezza gdp r

LE MISURE DI SICUREZZA

NEL REGOLAMENTO EU 679/2016

Autore Lino Fornaro,

Senior Security consultant, Evolumia SRL

Direttivo Clusit

Senior Security Consultant

Lead Auditor ISO/IEC 27001:13

OSSTMM PROFESSIONAL SECURITY TESTER - OPST

OSSTMM PROFESSIONAL SECURITY ANALYST - OPSA

ISECOM Certified Trainer

Certificato ICT Security Manager – registro AICQ Sicev

Docente Master sulla Sicurezza (ICS) presso TILS - L’Aquila

Relatore in conferenze di sensibilizzazione sul tema ICT Security

Esperto Normativa Italiana Privacy (DLgs 196/03)

Esperto normative europee Cybersecurity

Membro Comitato Direttivo CLUSIT

Membro Comitato Tecnico Scientifico AICQ Sicev “Uni 11506

Certificazioni informatiche”

Membro sottocommissione SC27 di UNINFO

Socio Fondatore ANORC, Membro Coordinamento ANORC Privacy

$whois Lino Fornaro

La sicurezza eletta a “Principio” nel trattamento dei dati personali

Art. 5 PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI

PERSONALI

1. I dati personali sono:

…....

f) trattati in maniera da garantire un’adeguata sicurezza dei dati

personali, compresa la protezione, mediante misure tecniche e

organizzative adeguate, da trattamenti non autorizzati o illeciti e

dalla perdita, dalla distruzione o dal danno accidentali (“integrità e

riservatezza”)

Art.25 Protezione dei Dati sin dalla progettazione (PRIVACY by Design)

Tenuto conto dello stato dell’arte e dei costi di attuazione, nonché

della natura, dell’ambito di applicazione, del contesto e delle finalità

del trattamento…

..come anche dei rischi aventi probabilità e gravità diverse per i

diritti e le libertà delle persone fisiche costituiti dal trattamento….

..sia al momento di determinare i mezzi del trattamento sia all’atto

del trattamento stesso

Il titolare del trattamento mette in atto misure techiche ed

organizzative adeguate, quali la pseudonimizzazione, volte ad

attuare in modo efficace i principi di protezione dei dati, quali la

minimizzazione, e a integrare nel trattamento le necessarie

garanzie al fine di soddisfare i requisiti del presente regolamento e

tutelare i diritti degli interessati

Art.25 … e protezione per impostazione predefinita(PRIVACY by Default)

Il titolare mette in atto misure tecniche e organizzative

adeguate per garantire che siano trattati, per impostazione

predefinita, solo i dati personali necessari per ogni specifica

finalità di trattamento, …..

Tale obbligo vale per la quantità dei dati personali raccolti, la

portata del trattamento, il periodo di conservazione e l’accessibilità.

... In particolare dette misure garantiscono che, per impostazione

predefinita, non siano resi accessibili dati personali ad un numero

indefinito di persone fisiche senza l’intervento della persona fisica.

Un meccanismo di certificazione approvato ai sensi dell’art.42

può essere utilizzato come elemento per dimostrare la

conformità ai requisiti......

PRIVACY by Design

I 7 PRINCIPI

1. Proattivo non reattivo – prevenire non correggere

2. Privacy come impostazione di default

3. Privacy incorporata nella progettazione

4. Massima funzionalità − Valore positivo, non valore zero

5. Sicurezza fino alla fine − Piena protezione del ciclo vitale

6. Visibilità e trasparenza − Mantenere la trasparenza

7. Rispetto per la privacy dell'utente − Centralità dell'utente

PRIVACY by Design

OBIETTIVI

L'obiettivo principale è quello di elaborare due concetti:

• La protezione dei dati

• La protezione degli utenti

prestando molta attenzione sull'aspetto della privacy e, successivamente,

su quello dei diritti. L'utente diventa il punto di partenza per sviluppare il

progetto in base alla legge sulla privacy e quindi con un approccio “user

centric”.

Pseudonimizzazione ?

Il trattamento di dati personali in modo tale che i dati personali non

possano essere attribuiti a un interessato specifico senza

l’utilizzo di informazioni aggiuntive, a condizione che tali

informazioni aggiuntive siano conservate separatamente e soggette

a misure tecniche e organizzative intese a garantire che tali dati

personali non siano attribuiti a una persona fisica

identificata o identificabile.

ATTENZIONE: DIVERSO DAL DATO ANONIMO

La Pseudonimizzazione

E’ una misura tecnica di “privacy by Design” che si pone l’obiettivo

di “allontanare” il dato dalla persona., rendendo complessa la

riferibilità del dato alla persona stessa, senza tuttavia “rompere” il

legame che esiste tra il dato e la persona, come è invece obiettivo

delle tecniche di anonimizzazione.

IL RICORSO ALL’ANALISI DEL RISCHIO

Il Regolamento introduce un impianto normativo complessivamente

basato sul rischio, incoraggiando i titolari (e i responsabili) ad adottare

scelte coerenti con rischi misurati in ogni decisione che riguarda il

trattamento dei dati.

Nel GDPR il rischio è un elemento centrale e discriminante

Il rischio è menzionato più di 70 VOLTE nel GDPR!!!

RIS

K A

NA

LIS

YS


il GDPR richiede alle organizzazioni di valutare la “probabilità e la

gravità del rischio” delle loro operazioni di trattamento dei dati

personali, ai diritti e alle libertà fondamentali delle persone.

Per le operazioni di trattamento che comportano rischi minori per i

diritti e le libertà fondamentali delle persone possono generalmente

risultare un minor numero di obblighi di conformità, mentre le

operazioni di trattamento “ad alto rischio” aumenteranno gli obblighi di

conformità aggiuntivi, come le valutazioni di impatto sulla protezione

dei dati (concetto di SCALABILITA’)

RIS

K A

NA

LIS

YS


La Scalabilità e l'approccio basato sul rischio sono strettamente legate

a meccanismi di incentivazione di responsabilità, richiamati da un altro

principio fondamentale del GDPR

Principio di «accountability» (art. 24)(responsabilizzazione)

Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle

finalità del trattamento, nonché dei rischi aventi probabilità e gravità

diverse per i diritti e le libertà delle persone fisiche, il titolare del

trattamento mette in atto misure tecniche e organizzative adeguate per

garantire, ed essere in grado di dimostrare, che il trattamento è effettuato

conformemente al presente regolamento. Dette misure sono riesaminate e

aggiornate qualora necessario.

RIS

K A

NA

LIS

YS

I RISCHI PRIVACY

Il considerando (75) contiene un elenco di eventi pregiudizievoli per i diritti

dell’interessato che possono derivare dalle attività di trattamento:

• Discriminazione

• Furto o usurpazione di identità

• Perdite finanziarie

• Pregiudizio alla reputazione

• perdita di riservatezza dei dati personali protetti da segreto professionale

• decifratura non autorizzata della pseudonimizzazione

• qualsiasi altro danno economico o sociale significativo

• Impedimento dell'esercizio del controllo sui dati personali

• valutazione di aspetti personali

• Trattamenti di dati «sensibili», «giudiziari», di minori

RIS

K A

NA

LIS

YS

Alcune considerazioni su Privacy Risk Analysis

Considerando i benefici, in via preliminare.

I benefici devono essere considerati, in via preliminare nella valutazione

del rischio in quanto sono legati alla finalità del trattamento.

I vantaggi e le finalità del trattamento devono essere tenuti in

considerazione al momento di definire le mitigazioni per evitare una

riduzione delle prestazioni non necessarie o di minare degli scopi.

RIS

K A

NA

LIS

YS


COSA prendere in considerazione per determinare i rischi Privacy:

1. attività di trattamento potenzialmente rischiose che potrebbero

provocare danni

2. le potenziali minacce in qualsiasi trattamento.

3. la probabilità e la gravità di eventuali danni che potrebbero derivare

da trattamenti rischiosi o minacce

RIS

K A

NA

LIS

YS


Le seguenti attività di trattamento si qualificano come potenzialmente

rischiose che possono provocare danni:

• trattamento dei dati di persone vulnerabili, quali i dati sui minori;

• elaborazione di grandi quantità di dati che interessano un gran

numero di individui;

• impegnarsi in un “nuovo tipo” di trattamento, oppure quando è

trascorso molto tempo da un primo DPIA;

• trattamento automatizzato, inclusa la profilazione, che fornisce una

base per le decisioni con effetto giuridico o un effetto altrettanto

significativo;

RIS

K A

NA

LIS

YS


Le seguenti attività di trattamento si qualificano come potenzialmente

rischiose che possono provocare danni:

• elaborazione su larga scala di categorie particolari di dati, e dati su

condanne penali e reati;

• trattamento su larga scala e il monitoraggio sistematico delle aree

accessibili al pubblico; e

• uso delle nuove tecnologie.

Questo elenco di trattamenti rischiosi o “trigger rischio” non è esclusivo

e ce ne possono essere altri che le organizzazioni devono prendere in

considerazione di volta in volta in base al contesto

RIS

K A

NA

LIS

YS


Una valutazione dei rischi dovrebbe prendere in considerazione le

potenziali minacce in qualsiasi trattamento:

• Raccolta ingiustificata o eccessiva di dati;

• l'uso o la conservazione dei dati inesatti o non aggiornati;

• uso improprio o abuso dei dati, tra cui:

a) l'uso dei dati oltre le ragionevoli aspettative degli individui;

b) l'uso insolito di dati oltre le norme societarie, cui ogni individuo

ragionevole in questo contesto potrebbe opporsi; o

c) l'inferenza ingiustificabile o decisioni, da cui l'organizzazione

non può oggettivamente difendersi;

• perdita o furto o distruzione e alterazione dei dati; e

• Accesso ingiustificabile o non autorizzato, il trasferimento, la

condivisione o la pubblicazione di dati.

RIS

K A

NA

LIS

YS


Infine, le organizzazioni devono valutare la probabilità e la gravità di

eventuali danni che potrebbero derivare da trattamenti rischiosi o

minacce:

a) danno materiale, tangibile, fisico o economico agli individui, come

ad esempio:

• danno fisico;

• perdita della libertà o della libertà di movimento;

• danni alla capacità di guadagno e perdita finanziaria ; e

• altri danni significativi agli interessi economici, ad esempio

derivanti dal furto di identità.RIS

K A

NA

LIS

YS


b) danno non materiale, disagio immateriale su individui, quali:

• danno derivante dal monitoraggio o l'esposizione di identità,

caratteristiche, attività, associazioni o opinioni;

• effetto dannoso sulla libertà di parola, di associazione, ecc .;

• danno reputazionale;

• paure personali, familiari, di lavoro o sociale, imbarazzo,

apprensione o ansia;

• intrusione inaccettabile nella vita privata;

• la discriminazione illegale o stigmatizzazione;

• perdita di autonomia;

• decurtazione inadeguato di scelta personale;

• furto d'identità; e

• la privazione di controllo sui dati personali.

RIS

K A

NA

LIS

YS

Art.32 Sicurezza del trattamento

Tenendo conto dello stato dell’arte e dei costi di attuazione,

nonché

• della natura

• dell’oggetto

• del contesto

• delle finalità del trattamento

come anche del rischio di varia probabilità e gravità per i diritti e

le libertà delle persone fisiche

Il titolare del trattamento e il responsabile del trattamento mettono

in atto misure tecniche e organizzative adeguate per garantire un

livello di sicurezza adeguato al rischio, che comprendono, tra le

altre, se del caso:

RIS

K A

NA

LIS

YS

Art.32 Sicurezza del trattamento

a) La pseudonimizazione e la cifratura dei dati personali;

(utile in caso di data breach)

b) La capacità di assicurare su base permanente la riservatezza,

l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi

di trattamento;

(capacità di adattamento a condizione d’uso e resistenza a

situazioni avverse per garantire disponibilità dei servizi erogati)

a) La capacità di ripristinare tempestivamente la disponibilità e

l’accesso dei dati personali in caso di incidente fisico o tecnico;

(procedure di DR e incident response)

b) Una procedura per testare, verificare e valutare regolarmente

l’efficacia delle misure tecniche e organizzative al fine di

garantire la sicurezza del trattamento RIS

K A

NA

LIS

YS

, D

R,

IS

O

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in

special modo dei rischi presentati dal trattamento che derivano in

particolare dalla distruzione, dalla perdita, dalla modifica, dalla

divulgazione non autorizzata o dall’accesso, in modo accidentale o

illegale, a dati personali trasmessi, conservati o comunque trattati.

3. L’adesione ad un codice di condotta approvato di cui all’art.40 o

a un meccanismo di certificazione approvato di cui all’art.42 può

essere utilizzata come elemento per dimostrare la conformità ai

requisiti di cui al paragrafo 1 del presente articolo

Art.32 Sicurezza del trattamentoR

IS

K A

NA

LIS

YS

Art.33 Notifica di una violazione dei dati personali all’autorità di controllo

1. In caso di violazione dei dati personali, il titolare del

trattamento notifica la violazione all’autorità di controllo ….

senza ingiustificato ritardo ...entro 72 ore(*) dal momento in

cui è venuto a conoscenza, a meno che sia improbabile che la

violazione dei dati personali presenti un rischio per i diritti e le

libertà delle persone fisiche (**)

DA

TA

BR

EA

CH

(*) Misure tecniche

che individuino la

violazione e

notifichino il titolare

(**) ricorso alla cifratura,

a patto che le chiavi

crittografiche siano al

sicuro (e non sui sistemi

violati)

La notifica d cui al paragrafo 1 deve almeno:

a) Descrivere la natura della violazione dei dati personali

compresi, ove possibile, le categorie e il numero

approssimativo di interessati in questione nonché le categorie e

il numero approssimativo di registrazioni di dati personali in

questione;

b) Comunicare il nome e i dati di contatto del responsabile della

protezione dei dati o di altro punto di contatto presso cui

ottenere informazioni;

DA

TA

BR

EA

CH


La notifica di cui al paragrafo 1 deve almeno:

c) Descrivere le probabili conseguenze della violazione (*) dei dati

personali

d) Descrivere le misure adottate o di cui si propone l’adozione da

parte del titolare per porre rimedio alla violazione dei dati personali

e anche, se del caso, per attenuare i possibili effetti negativi (**)

(*) la Risk Analisys

dovrebbe aver contemplato

e misurato questo rischio e

determinato le misure

preventive

(**) un piano di Risposta

agli incidenti e una

strategia di gestione della

crisi sono fortemente

consigliate

DA

TA

BR

EA

CH


1. Quando la violazione di dati personali è suscettibile di

presentare un rischio elevato per i diritti e le libertà delle

persona fisiche, il titolare del trattamento comunica la

violazione all’interessato senza ingiustificato ritardo

2. La comunicazione all’interessato …. descrive con un

linguaggio semplice e chiaro la natura della violazione dei dati

personali e contiene almeno le informazioni e le

raccomandazioni di cui all’art.33, par.3 lettere b) c) e d).

DA

TA

BR

EA

CH

Art.34 COMUNICAZIONE di una violazione dei dati personali ALL’INTERESSATO

a) 3. Non è richiesta la comunicazione all’interessato… se è

soddisfatta una delle seguenti condizioni:

b) Il titolare ha messo in atto le misure tecniche e organizzative

adeguate di protezione e tali misure erano state applicate ai dati

personali oggetto della violazione, in particolare quelle destinate

a rendere i dati personali incomprensibili a chiunque non sia

autorizzato ad accedervi, quali la cifratura.

DA

TA

BR

EA

CH


b) Il titolare del trattamento ha successivamente adottato misure

atte a scongiurare il sopraggiungere di un rischio elevato per i

diritti e le libertà degli interessatindi cui al par.1

c) detta comunicazione richiederebbe sforzi sproporzionati. In tal

caso, si procede invece a una comunicazione pubblica o a una

misura simile, tramite la quale gli interessati sono informati con

analoga efficacia.Una strategia di

comunicazione che tuteli

l’immagine e che preservi il

business aziendale è

necessaria

DA

TA

BR

EA

CH


Danni fisici, materiali, morali

Perdita del controllo dei dati

Discriminazione

Furto o usurpazione d'identità

Decifratura non autorizzata della pseudonimizzazione

Pregiudizio alla reputazione

Perdita di riservatezza dei dati protetti da segreto professionale

Perdite finanziarie

Etc.

DA

TA

BR

EA

CH


Paragrafo 1

Quando un tipo di trattamento, allorché prevede in particolare l’uso

di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le

finalità del trattamento, può presentare un rischio elevato per i

diritti e le libertà delle persone fisiche, il titolare del

trattamento effettua, prima di procedere al trattamento, una

valutazione dell’impatto dei trattamenti previsti sulla

protezione dei dati personali. Una singola valutazione può

esaminare un insieme di trattamenti simili che presentano rischi

elevati analoghi.

Art.35 Valutazione d’impatto sulla protezione dei dati

Il Titolare del trattamento, allorquando svolge una valutazione d’impatto

sulla protezione dei dati, si consulta con il responsabile della protezione

dei dati, qualora ne sia designato uno

Art.35 Valutazione d’impatto sulla protezione dei dati

GRAZIE per l’attenzione

Lino Fornaro, Evolumia srlSenior Security Consultant e

Privacy [email protected]

2 fornaro fiera del levante sicurezza gdp r

Technology

Transcript of 2 fornaro fiera del levante sicurezza gdp r