GDPR(Reg. UE 2016/679) - bc2consulenze.com · Il 24 maggio 2016 è entrato in vigore il Regolamento...

BC2 ConsulenzeDott.ssa Patrizia Baldioli – Avv.Giovanni Garippa – Angelo Cesari + staff

GDPR (Reg. UE 2016/679)

IL NUOVO REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI SI APPLICHERA’ DAL

25 MAGGIO 2018_

VOI E LE VOSTRE AZIENDE SIETE PRONTI?

1


Per iniziare 2

Il nuovo General Data Protection Regulation ( Regolamento UE Gdpr 2016/679) ha l’obbiettivo di unificare e rafforzare la protezione dei dati personali all’interno della Unione Europea.

Questo regolamento :

• mette al primo posto la restituzione ai cittadini del controllo dei propri dati personali (quanto mai necessario anche alla luce dei seguenti scandali riguardanti Cambridge Analytica)

• semplifica le norme dei paesi membri unificandole all’interno di un unico contesto comune.

Questo opuscolo è stato estratto da un seminario tenuto a Saronno il 28 marzo di fronte ad un numeroso gruppo di aziende, vi offre una panoramica sulle novità e vi fornisce alcune idee su come raggiungere la conformità (compliance) al regolamento entro la data ultima del 25 maggio 2018.


La risorsa di maggior valoreal mondo non è più il petrolioma sono i datipersonali

3


DATA PROTECTION 4

• Oggi i dati personali sono l’essenza della nostra identità

• Generati da ogni nostra azione basata su supportiinformatici

• Facilmente copiabili e riutilizzabili

• Merce di scambio della società tecnologica: datipersonali in cambio di servizi

• Non si identifica con la privacy la sua evoluzione


5

E’ una svolta epocale in materia di privacy e protezione dei dati personali.A far tempo da tale data avremo un’unica legge applicabile in tutta l’UnioneEuropea che regolerà in maniera uniforme il flusso dei dati tra gli Stati membrie tra questi e gli Stati extra-UE. Ci sarà inoltre uniformità nella tutela dei dirittidegli interessati.

Il 24 maggio 2016 è entrato in vigore il Regolamento UE 2016/679 GDPR, che diventerà applicabile in tutti i Paesi dell’Unione dal 25 maggio 2018


…e l’Italia?

Il Consiglio dei Ministri del 21 marzo 2018 ha approvato lo schema del decreto legislativoche adegua il Codice Privacy alle disposizioni del nuovo Regolamento Ue 2016/679.

6

A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisterannoefficacia, il vigente Codice in materia di protezione dei dai personali (D.lgs. 30 giugno2003, n. 196), sarà abrogato e la nuova disciplina in materia sarà rappresentataprincipalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili eda quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno alnuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.


Dalla Privacy alla Data Protection:evoluzione da una visione statica a una visione

dinamica

Privacy come opacità

Tutela dei dati come trasparenza

7


GDPR: PERCHE’?

Articolo 1 – Oggetto e finalità

1. Il presente regolamento stabilisce norme relative allaprotezione delle persone fisiche con riguardo altrattamento dei dati personali, nonché norme relativealla libera circolazione di tali dati.

2. […]

8


GDPR: AMBITO DI APPLICAZIONE

A) Soggetti tenuti: persone, società ed organizzazioni

B) Tipologie di trattamenti:

• interamente o parzialmente automatizzati

• non automatizzati di dati contenuti in un archivio

• al di fuori della sfera personale

C) Non si applica:

• al trattamento dei dati di persone deceduto o di persone giuridiche

• ai dati trattati da un individuo per «uso domestico»

• ai trattamenti effettuati da autorità giudiziarie

9


IL DATO PERSONALE definizione

Qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (Art. 4 n. 1)

10


DATI PARTICOLARI

Dati personali che rivelino l'origine razziale o etnica, le opinioni politiche,le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonchédati genetici, dati biometrici intesi a identificare in modo univoco unapersona fisica, dati relativi alla salute o alla vita sessuale oall'orientamento sessuale della persona.

11

Specifica protezione: non dovrebbero essere oggetto di trattamentosalvo nei casi specifici di cui al GDPR (Art. 9 par. 2)


GDPR: PRINCIPALI NOVITA’

• Accountability del titolare

• Nuovi diritti degli interessati: portabilità, oblio, conservazione …

• Registro dei trattamenti

• Sicurezza basata su analisi dei rischi e adozione di misure tecniche e organizzative adeguate

• Obbligo di notifica dei data breach

• Data protection by design e by default

• Valutazione d’impatto e consultazione preventiva

• Data Protection Officer (DPO)

• Entità delle sanzioni

12


Liceità del trattamento (Art. 6.1 GDPR)

13


Il Consenso

Il consenso può ritenersi espresso secondo modalità conformi alle condizioni delregolamento, se è:

• informato;

• specifico per ciascuna finalità del trattamento;

• libero, prestato cioè senza condizionamenti e senza dover subire pregiudizi(l’esecuzione di un contratto, compresa la prestazione di un servizio, non deve esseresubordinata ad un consenso non necessario per tale esecuzione);

• inequivocabile: deve essere manifestato attraverso una dichiarazione o azionepositiva inequivocabile, la richiesta di consenso, laddove inserita nel contesto di unadichiarazione scritta che riguarda anche altre questioni, deve essere chiaramentedistinguibile dalle altre materie; non è ammesso il consenso tacito o presunto e non

costituiscono valido consenso caselle pre-spuntate su un modulo.

14


Informativa

L’art. 13 del GDPR elenca in modo puntuale quanto il titolare deve sempre indicare in un’informativa:

• I contatti del DPO (se presente)

• La base giuridica del trattamento

• Se trasferisce i dati personali in Paesi terzi

• Il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo

• Il diritto di presentare un reclamo all’autorità di controllo

• Se il trattamento comporta processi decisionali automatizzati

• Se i dati non sono raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine non superiore ad un mese dalla raccolta, oppure al momento della registrazione dei dati.

15

Caratteristiche dell’informativa

• Deve avere forma concisa, trasparente, comprensibile per l’interessato e facilmente accessibile

• Deve essere scritta in un linguaggio chiaro e semplice

• Viene consegnata in forma prevalentemente scritta e in formato elettronico (sono comunque ammessi altri mezzi)

• Sono ammesse icone per la sua composizione, purché queste siano accompagnate da una informativa estesa (queste icone dovrannoessere uguali in tutta Europa e saranno definite dalla Commissione Europea)


Organigramma Privacy ante GDPR

16

Organigramma Privacy: i soggetti


GDPR E RESPONSABILITA’

Principio di Accountability

Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità

diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzativeadeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dettemisure sono riesaminate e aggiornate qualora necessario (Art. 24 n. 1)

Ai titolari il compito di decidere autonomamente le modalità, garanzie e limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce dei criteri specifici indicati nel GDPR

17

RISCHI E MISURE DI SICUREZZAIl Codice Privacy prevedeva all’Allegato B misure minime di sicurezza

Il GDPR richiede misure adeguate, innalza il livello di sicurezza e responsabilizza gli operatori


Principi del trattamento dei dati (Art. 5 n.1)

18


Cosa richiede il GDPR?

I dati personali sono trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»). Art. 5.1 lett. f)

19


Analisi del rischio

Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati (Art. 32.2)

20

dalla valutazione dei rischi

alle misure di sicurezza adeguate

dalla valutazione dei rischi alle misure di sicurezza adeguate


Il Registro dei trattamenti

Il Registro dei trattamenti è uno strumento disciplinato dal GDPR(Art. 30), non obbligatorio, ma fondamentale per disporre di unquadro aggiornato dei trattamenti in essere all’internodell’azienda, ma anche indispensabile per ogni valutazione eanalisi del rischio

ACCOUNTABILITY

Il Registro dei trattamenti è uno strumento disciplinato dal GDPR(Art. 30), non obbligatorio, ma fondamentale per disporre di unquadro aggiornato dei trattamenti in essere all’internodell’azienda, ma anche indispensabile per ogni valutazione eanalisi del rischio

ACCOUNTABILITY

21

Art. 30 del Regolamento• La tenuta di un registro del trattamento è obbligatoria solo per le imprese od

organizzazioni con più di 250 dipendenti.• Le imprese od organizzazioni con meno di 250 dipendenti, invece, sono obbligate alla

tenuta del Registro del trattamento solo nel caso in cui effettuino un trattamento ingrado di presentare un rischio per i diritti e le libertà dell’interessato …..


Il Registro dei trattamenti: finalità

• tenere traccia delle operazioni di trattamento effettuate all’interno della singola organizzazione;

• costituire uno strumento operativo di lavoro mediante il quale censire in maniera ordinata le banche dati e glialtri elementi rilevanti per assicurare un efficace «ciclo di gestione» dei dati personali;

• dimostrare di aver adempiuto alle prescrizioni del Regolamento, nell’ottica del principio di “accountability”

22

…vi domando:com’è possibile pensare di poter dimostrare di aver adottato tutte le misure necessarie a garantire il rispetto del Regolamento se non siamo nemmeno in grado di sapere con esattezza quali trattamenti sono svolti in azienda, con quali modalità e misure di sicurezza?

…infatti:il Garante per la protezione dei dati personali, nella sua Guida all’applicazione del GDPR indica che: “il registro deitrattamenti non costituisce un adempimento formale bensì parte integrante di un sistema di corretta gestione deidati personali”, invitando tutti i titolari del trattamento e i responsabili, a prescindere dalle dimensionidell’organizzazione, a compiere i passi necessari per dotarsi di tale registro.


Il processo di analisi del rischio

23

Risk-based approach: un percorso logico

• Viene attribuito ad ogni minaccia il suo grado di probabilitàpotenziale di realizzarsi e quale è di conseguenza l’impatto chequesto rischio avrebbe sull’organizzazione, in termini diriservatezza, integrità e disponibilità.

• Verificate quali misure sono state adottate per proteggere l’assetoggetto di valutazione, il rischio viene riclassificato, per verificare sel’impatto residuo è accettabile.

• Nel caso in cui l’impatto non sia accettabile, va pianificata unastrategia tesa a mitigare il rischio, fino a renderlo accettabile.


Sistema di gestione privacy

Flusso continuo e circolare che si deve ripetere continuamente

24

(Ciclo di Deming)


Il Data Protection Impact Assessment"DPIA"

• Il GDPR ha introdotto, per il tramite delle disposizioni di cui all'articolo 35, l'istituto della"valutazione d'impatto sulla protezione dei dati" o "data protection impact assesment" (cd."DPIA").

• Tale istituto altro non è che un processo volto a descrivere un trattamento di dati personali,valutarne la necessità e la proporzionalità, nonché gestirne gli eventuali rischi per i diritti e lelibertà delle persone fisiche da esso derivanti, effettuando una valutazione del livello del rischioe determinando le misure idonee a mitigarlo.

• Il DPIA va inquadrato come uno strumento essenziale e fondamentale per tutti i titolari eresponsabili del trattamento al fine di dar corso al nuovo approccio alla protezione dei datipersonali voluto dal legislatore comunitario e fortemente basato sul principio dellaresponsabilizzazione (cd. accountability principle).

25

Nelle linee guida relative alla valutazione di impatto ad opera del WP29 si legge:

“Carring out a DPIA is a continual process, not a one-time exercise”


Data protection by design …Il principio di «privacy by design» - o di «protezione dei dati personali fin dalla progettazione» - prevede che ognititolare o responsabile del trattamento debba tenere in considerazione, sin dalla ideazione e progettazione delleattività di trattamento che intende porre in essere, la protezione della riservatezza dei dati personali degliinteressati cui il trattamento si riferisce.

Effettuare il trattamento nel rispetto della norma, minimizzando i rischi e rispettando la tutela degli interessati

26

Data protection by defaultIl principio di «privacy by default» - o di «protezione dei dati personali «per impostazione predefinita» - prevedeche ogni titolare o responsabile effettui il trattamento dei soli dati personali degli interessati nella misura e per iltempo necessari a raggiungere le specifiche finalità del trattamento, implementando, all’interno degli ambienti,dei sistemi informatici e delle infrastrutture di rete utilizzate per tale trattamento, le misure tecniche idonee aproteggere i dati personali degli interessati.

Trattare solo dati necessari per il raggiungimento delle finalità del trattamento


Il Data Protection Officer (DPO)

Il Data Protection Officer (cd. DPO) è una figura introdotta dal GDPR, storicamente già presente in alcune legislazioni europee, è un professionista che deve avere un ruolo aziendale (sia esso soggetto interno o esterno) con competenze giuridiche, informatiche, di risk management e di analisi dei processi.

La sua responsabilità principale è quella di osservare, valutare e organizzare la gestione del trattamento di dati personali e dunque la loro protezione all’interno di un’azienda (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

27

L'art. 391. Il responsabile della protezione dei dati | DPO | è incaricato almeno dei seguenti compiti:a) informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;d) cooperare con l'autorità di controllo; ee) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

2. Nell'eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del medesimo.


Violazione dei dati (DATA BREACH) 28

Gli adempimenti previstiI dati personali conservati, trasmessi o trattati da aziende epubbliche amministrazioni possono essere soggetti al rischio diperdita, distruzione o diffusione indebita, ad esempio a seguito diattacchi informatici, accessi abusivi, incidenti o eventi avversi, comeincendi o altre calamità. Si tratta di situazioni che possonocomportare pericoli significativi per la privacy degli interessati cui siriferiscono i dati.Per questa ragione, anche sulla base della normativa europea, ilGarante per la protezione dei dati personali ha adottato negli ultimianni una serie di provvedimenti che introducono in determinatisettori l'obbligo di comunicare eventuali violazioni di dati personali(data breach) all'Autorità stessa e, in alcuni casi, anche ai soggettiinteressati. Il mancato o ritardato adempimento dellacomunicazione (entro 72 ore) espone alla possibilità di sanzioniamministrative.


Esempi di violazione di personali 29

• Invio di una email contenenti dati personali ad destinatario sbagliato• Ex-dipendente che accede ai dati aziendali con le sue credenziali non ancora

disabilitate• Lasciare documenti contenenti dati personali sulla stampante• Perdere una chiavetta USB (pen Drive) contenenti dati di clienti o dipendenti non

crittografati (in chiaro)• Perdita o furto di pc portatile o tablet o smartphone aziendali contenenti dati

personali• Lasciare sulla scrivania cartelle contenenti dati personali dopo l’orario di ufficio (

caso eclatante di una cartella contenente i dati di un mutuo, lasciata su di una scrivania in banca, la donna delle pulizie fotografò e divulgo il contenuto. Banca costretta a risarcire il danno)

• Durante un cyber-attacco al sito web vengono rubati dati personali.• Un titolare del trattamento subisce un attacco ransomware che causa la

crittografia di tutti i dati. Nessun back-up è disponibile e i dati non possono essere ripristinati.


Nuovo sistema sanzionatorio:

Fino a 10 milioni di euro, o per le imprese, fino al 2 % del fatturatoper la violazione degli:

obblighi del titolare del trattamento e del responsabile del trattamento connessi:- al consenso dei minori; - ai trattamenti senza identificazione dell’interessato; - ai principi di accountability, Privacy by design e by default, al Joint Controller, ai responsabili del

trattamento, alla tenuta di un registro del trattamento;- al trasferimento dei dati all’estero;

30

Secondo scaglione

Fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato per la violazione:

Primo scaglione

- dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;- dei diritti degli interessati a norma degli articoli da 12 a 22;- dei trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49;- di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX (artt. da 85 a 91);- ovvero per l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi didati dell'autorità di controllo o il negato accesso.


Privacy e Videosorveglianza

31


Le immagini sono dati personali?

Il dato é sinonimo di informazione, pertanto può rientrare in tale categoria concettuale qualsiasi elemento che abbia un contenuto informativo.

Anche la semplice immagine di una persona deve essere considerata dato personale (Cass. 14346/2012)

Attenzione : al posizionamento dei monitor nell’ambito dell’attività di videosorveglianza presso esercizi commerciali

La disciplina del Codice Privacy in merito all’installazione di videosorveglianza effettuata da persone fisiche per fini esclusivamente personali non trova applicazione qualora i dati non siano comunicati sistematicamente a terzi ovvero diffusi.

Il titolare o il responsabile devono designare per iscritto tutte le persone fisiche, incaricate del trattamento, autorizzate sia ad accedere ai locali dove sono situate le postazioni di controllo, sia ad utilizzare gli impianti e, nei casi in cui sia indispensabile per gli scopi perseguiti, a visionare le immagini (Provv. 8 aprile 2010)

Informativa minima semplice

Conservazione delle immagini La conservazione deve essere limitata a poche ore o, al massimo, alle ventiquattro ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi, nonché nel caso in cui si deve aderire ad una specifica richiesta investigativa dell'autorità giudiziaria o di polizia giudiziaria

32


Circolare INL n. 5/2018 del 19/02/2018

Si rileva che l’eventuale ripresa dei lavoratori, di norma, dovrebbe avvenire in via incidentale e con carattere dioccasionalità ma nulla impedisce, se sussistono le ragioni giustificatrici del controllo (ad esempio tutela della“sicurezza del lavoro” o del “patrimonio aziendale”), di inquadrare direttamente l’operatore, senza introdurrecondizioni quali, per esempio, “l’angolo di ripresa” della telecamera oppure “l’oscuramento del volto del lavoratore”.

La generica motivazione di “tutela del patrimonio” va necessariamente declinata per non vanificare le finalità postealla base della disciplina normativa. Da valutare dunque l’adozione possibile di misure alternative al controllo ecomunque il bilanciamento dei contrapposti interessi, anche con riguardo al valore e asportabilità dei benicostituenti il patrimonio aziendale.

Ove sussistano le ragioni giustificatrici del provvedimento, è autorizzabile da postazione remota sia la visione delleimmagini “in tempo reale” che registrate. Tuttavia, l’accesso da postazione remota alle immagini “in tempo reale”deve essere autorizzato solo in casi eccezionali debitamente motivati. L’accesso alle immagini registrate, sia daremoto che “in loco”, deve essere necessariamente tracciato anche tramite apposite funzionalità che consentano laconservazione dei “log di accesso” per un congruo periodo, non inferiore a sei mesi; pertanto non va più posta piùcome condizione, nell’ambito del provvedimento autorizzativo, l’utilizzo del sistema della “doppia chiave fisica ologica”.

33


Verifiche e sanzioni

• Esistenza di un accordo stipulato con le organizzazioni sindacali ovvero di un provvedimento di autorizzazione emesso dalla DTL; rischio in caso di violazioni: prescrizione dell’ispettore di far cessare l’attività illecita con termine per la rimozione dell’impianto; procedimento penale + sanzioni amministrative: ammenda che va da 154,00 a 1.549,00 euro ovvero l’arresto da 15 giorni ad un anno ex art. 38 della legge n. 300/1970, salvo che il fatto non costituisca reato più grave;

• Presenza informativa minima esposta e completezza dei campi di compilazione; in caso di omessa o inidonea informativa: sanzione amministrativa del pagamento di una somma da 6.000,00 euro a 36.000,00 euro ex art. 161 Codice della Privacy;

34


Art 32. SICUREZZA DEL TRATTAMENTO

35

1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto,del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in

atto misure tecniche e organizzative adeguate per

garantire un livello di sicurezza adeguato al rischio ...


15 CONTROLLI ESSENZIALIDI CYBER SECURITY

36

SANS INSTITUTE: CRITICAL SECURITY CONTROLS V6.0

Che cos’è un controllo essenziale?

• Per controllo essenziale intendiamo una pratica relativa alla cybersecurity che, qualora ignorata oppure implementata in modo non appropriato, causa un aumento considerevole del rischio informatico.

• Tale aumento del rischio implica che l’operatività, la riservatezza dei dati dell’organizzazione e la loro integrità potrebbero essere lese da attaccanti con una probabilità troppo alta per essere considerata accettabile.

• Di contro, la corretta implementazione di tutti i controlli di cybersecurity ritenuti essenziali ha, come immediata conseguenza, una riduzione importante, ma non totale, del rischio.

• i Controlli Essenziali hanno una validità limitata nel tempo, dovuta alla dinamicità della minaccia cyber.

• C’è quindi la necessità di mantenere aggiornati tali controlli per rispondere in modo adeguato all’evoluzione tecnologica e della minaccia cyber.

AC2

Diapositiva 36

AC2 Angelo Cesari; 28/03/2018


Inventario dispositivi e software

1. Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.

2. I servizi web (social network, cloud computing, posta elettronica, spazio web, ecc. . . ) offerti da terze parti a cui si è registrati sono quelli strettamente necessari (ce ne sono di inutilizzati che potrebbero contenere dati aziendali?).

3. Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.

4. È stato nominato un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.

37


Inventario dispositivi e softwareVerifica della sicurezza dei supporti mobili

Recenti esperimenti hanno rilevato la diffusa inconsapevolezza nell’utilizzo dei dispositivi USB.

Gli autori degli esperimenti hanno disseminato delle pendrive USB in diversi luoghi pubblici;

È stato osservato che la maggior parte delle persone hanno collegato immediatamente queste unità rimovibili “sconosciute” ai propri dispositivi personali,

senza accertarsi della possibilità che esse potessero contenere malware che avrebbero potuto compromettere i propri dati.

38


Governance

5.Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.

(p.es. GDPR 679/2016, ISO 27001, ecc.)

39


GovernanceAutenticazione, autorizzazione, incaricati

a) Utilizzo di un sistema di autenticazione informatica, tramite l’assegnazione di credenziali di autenticazione delle quali deve essere assicurata la segretezza l’adozione di procedure per la custodia dei dispositivi di accesso e delle copie di sicurezza, al fine di garantire il ripristino della disponibilità dei dati e dei sistemi.

b) Utilizzo di un sistema di autorizzazione, attraverso la limitazione dell’accesso ai soli dati necessari per effettuare le operazioni di trattamento, l’individuazione di profili di autorizzazione e la verifica periodica delle condizioni di sussistenza per la conservazione di tali profili di autorizzazione.

c) redazione di una lista degli incaricati per classi omogenee di incarico e dei relativi profili di autorizzazione, il salvataggio dei dati con frequenza almeno settimanale e l’aggiornamento periodico dei programmi volti a prevenire la vulnerabilità degli strumenti elettronici.

40


GovernanceDati sensibili, tutela, dati cartacei

d) Ulteriori misure in caso di trattamento di dati sensibili o giudiziari, dei quali devono essere garantiti il ripristino e l’accesso in caso di danneggiamento e che vanno protetti mediante l’utilizzo di idonei strumenti elettronici e adeguate procedure relative alla custodia e all’accesso da parte di incaricati non direttamente autorizzati.

e) Misure di tutela e garanzia, che prevedono la possibilità di avvalersi di soggetti esterni alla propria struttura, che attestino la conformità alle disposizioni sopra descritte.

Nel caso di trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici, esso è consentito solo in presenza di disposizioni scritte concernenti il controllo e la custodia, da parte degli incaricati individuati, degli atti e dei documenti contenenti dati personali, che devono essere controllati e custoditi dagli incaricati stessi fino alla loro restituzione, senza che a essi accedano persone prive di autorizzazione.

41


PROTEZIONE DA MALWARE

6. Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus,anti-malware, ecc...) regolarmente aggiornato.

42

«Si definisce malware qualsiasi software che, una volta eseguito su un sistema informatico, possa apportare modifiche indesiderate o danni al sistema stesso e ai suoi utenti.»


PROTEZIONE DA MALWARE Attacchi cyber :

«Gran parte del fatturato proviene da medie, piccole, microimprese completamente impreparate ad affrontare la minaccia»

43


GESTIONE PASSWORD ED ACCOUNT

7 Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).

8 Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.

9 Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza

44


FORMAZIONE E CONSAPEVOLEZZA

10 Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, . . . ).

I vertici aziendali hanno cura di predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.

45


PROTEZIONE DEI DATI

11 La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.

12 Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (identificati al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.

46


PROTEZIONE DELLE RETI

13 Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici

(es. Firewall e altri dispositivi/software anti-intrusione).

47


PREVENZIONE E MITIGAZIONE

14 In caso di incidente (es. sia rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.

15 Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.

48


BC2 sncVia Lungolago Buozzi 2228887 Omegna (VB)tel. 0323 [email protected]

Angelo Cesari 333 1942245

Avv. Giovanni Garippa340 291 4420

49

GDPR(Reg. UE 2016/679) - bc2consulenze.com · Il 24 maggio 2016 è entrato in vigore il Regolamento...

Documents

Transcript of GDPR(Reg. UE 2016/679) - bc2consulenze.com · Il 24 maggio 2016 è entrato in vigore il Regolamento...