il nuovo regolamento europeo sulla protezione dei dati · circolazione dei dati (regolamento...
TRANSCRIPT
www.datasecurity.it
1 Information Security & Privacy
Il nuovo Regolamento Europeo
sulla Protezione dei Dati
Polo Tecnologico di Pordenone, 26 giugno 2014Relatore: dott. Giancarlo Favero
www.datasecurity.it
2 Information Security & Privacy
• Presente da circa 20 anni sul mercato della sicurezza
• Nata come ramo d’azienda di DataService, società
quotata al nuovo mercato, operante nel settore dei
servizi bancari
• Forti legami con il mondo accademico e della ricerca
Le origini
www.datasecurity.it
3 Information Security & Privacy
• Possiede al proprio interno competenze e conoscenze
relative alle normative e alle tecnologie
• Focalizzazione su specifici settori
• Elevata specializzazione e possibilità di “prevedere” i
problemi
• Offerta formativa ricca ed articolata
Le competenze
www.datasecurity.it
4 Information Security & Privacy
• Pubblica Amministrazione
• Polizia Locale
• Sanità Pubblica e Privata
• Grandi gruppi industriali e grande distribuzione
• Formazione
Il mercato
www.datasecurity.it
5 Information Security & Privacy
I clienti
www.datasecurity.it
6 Information Security & Privacy
Altri clienti
• Gruppo Morellato (Bluespirit)
• Sebiro – Finalba (Gruppo Percassi - grande
distribuzione all’interno di centri commerciali ed outlet)
• Circa 60 Comuni nell’area Nord-Est Milanese
www.datasecurity.it
7 Information Security & Privacy
Le partnership
• SANS Institute – Bethesda, Maryland -
USA
• Qualys - Vulnerability Assessment di
livello industriale
www.datasecurity.it
8 Information Security & Privacy
Le sedi
Headquarter:
• Pordenone
Sedi operative:
• Milano
• Gaggiano
• Treviglio
www.datasecurity.it
9 Information Security & Privacy
L’evento di oggi
Il nuovo Regolamento Europeo
sulla Protezione dei Dati
www.datasecurity.it
10 Information Security & Privacy
Quadro legislativo comune ed
omogeneo in materia di
protezione dei dati personali e
di libera circolazione dei dati
Attualmente vi sono 27
differenti normative in materia
di protezione dei dati personali
=> quadro normativo
estremamente disomogeneo e
frammentato
Il nuovo Regolamento Europeo
www.datasecurity.it
11 Information Security & Privacy
Trattandosi di Regolamento e
non di Direttiva, non sarà
soggetto a recepimento, quindi
gli stati membri non potranno
“adattare” (modificare”) il
quadro normativo, che sarà
quindi omogeneo e consistente
Il nuovo Regolamento Europeo
www.datasecurity.it
12 Information Security & Privacy
“Regolamento del parlamento europeo e del consiglio concernente la tutela
delle persone fisiche con riguardo al trattamento dei dati personali e la libera
circolazione dei dati (regolamento generale sulla protezione dei dati)”
Due anni di “gestazione”
Emendamenti, contrasti, lobbying
Comporterà l’abrogazione della direttiva 95/46/CE
Trattandosi di regolamento, non è soggetto a recepimento e quindi
entrerà in vigore contemporaneamente all’interno dei 27 paesi membri
dell’UE
Il nuovo Regolamento europeo
Direttiva
95/46/CE
L. 675/96 D.Lgs.
196/2003
1995 1996 2003
Regolamento
2014
www.datasecurity.it
13 Information Security & Privacy
Si stima che unificando il quadro
normativo in materia di protezione dei
dati personali, si potrebbero
risparmiare
2,3 MILIARDI di Euro / Anno
in termini di semplificazione degli
oneri amministrativi e degli
adempimenti, più 130 Milioni di Euro /
anno derivanti dall’onere di notificare i
trattamenti
Il nuovo Regolamento Europeo
www.datasecurity.it
14 Information Security & Privacy
Un altro vantaggio derivante
dall’unificazione del contesto
normativo: le aziende con sedi sparse
in Europa potranno rivolgersi ad
un’unica Authority (quella nella quale è
stabilita la casa madre)
Il nuovo Regolamento Europeo
www.datasecurity.it
15 Information Security & Privacy
“Regolamento del parlamento europeo e del consiglio concernente la tutela
delle persone fisiche con riguardo al trattamento dei dati personali e la libera
circolazione dei dati (regolamento generale sulla protezione dei dati)”
Due anni di “gestazione”
Emendamenti, contrasti, lobbying
Comporterà l’abrogazione della direttiva 95/46/CE
Trattandosi di regolamento, non è soggetto a recepimento e quindi
entrerà in vigore contemporaneamente all’interno dei 27 paesi membri
dell’UE
Il nuovo Regolamento europeo
Direttiva
95/46/CE
L. 675/96 D.Lgs.
196/2003
1995 1996 2003
Regolamento
2014
www.datasecurity.it
16 Information Security & Privacy
Che cosa è successo negli ultimi 10 anni
Esplosione dei dati generati, raccolti, trattati
www.datasecurity.it
17 Information Security & Privacy
Le conseguenze dei big data
Dati conservati per periodi indefiniti, molto lunghi, spesso “per sempre”
Dati acquisiti e poi successivamente utilizzati per finalità completamente differenti da quelle dichiarate
Art. 5 lett. a): I dati personali devono essere trattati in modo lecito, equo e trasparente nei confronti dell’interessato
Art. 5 lett. b): devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità
www.datasecurity.it
18 Information Security & Privacy
Le conseguenze dei big data
Dati conservati per periodi indefiniti, molto lunghi, spesso “per sempre”
Dati acquisiti e poi successivamente utilizzati per finalità completamente differenti da quelle dichiarate
Art. 5 lett. a): I dati personali devono essere trattati in modo lecito, equo e trasparente nei confronti dell’interessato
Art. 5 lett. b): devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità
Centrale rischi della Banca
d’Italia, che detiene
informazioni fondamentali
per decidere (ad. esempio)
se concedere un mutuo o un
finanziamento
www.datasecurity.it
19 Information Security & Privacy
Dati relativi a ritardi nei pagamenti detenuti dalla
Centrale Rischi della Banca d’Italia o dal CRIF o
da una finanziaria
Esami di laboratorio
Certificazioni
Dichiarazioni
Livello di sicurezza
Livello di rischio
Rapporto tra tempo e validità del dato
www.datasecurity.it
20 Information Security & Privacy
Le conseguenze dei big data
Sanzione da 54.000 Euro comminata dal Garante per le protezione dei dati personali a GS Supermercati
Dati acquisiti teoricamente per gestire i premi a catalogo e gli sconti su prodotti …
… in realtà profilazione“occulta” del cliente per campagne mirate di marketing selvaggio
www.datasecurity.it
21 Information Security & Privacy
Le conseguenze dei big data
70% dei cittadini europei sono preoccupati del fatto che i loro dati possano essere utilizzati per finalità differenti da quelle per le quali sono stati inizialmente acquisiti
Art. 5 lett. a): I dati personali devono essere trattati in modo lecito, equo e trasparente nei confronti dell’interessato
Art. 5 lett. b): devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità
www.datasecurity.it
22 Information Security & Privacy
Il valore dei dati – Dati come il petrolio
Si stima che i dati personali dei 500 milioni di cittadini UE valgano circa l’8% del PIL Europeo
Lotta per accaparrarsi i dati dei cittadini
Compressione/violazione della privacy per ottenere dati personali (“petrolio”)
www.datasecurity.it
23 Information Security & Privacy
Tecnologie sempre più invasive e pervasive o “pericolose”
Geolocalizzazione
(Progetti Smart
City)Wi-Fi
SmartphoneRfid
Bluetooth
Near Location
Communication
Videosorveglianza
Biometria
Behaviour
Control
Cloud
computing
www.datasecurity.it
24 Information Security & Privacy
Tecnologie sempre più invasive e pervasive o “pericolose”
Geolocalizzazione
(Progetti Smart
City)
Wi-Fi
SmartphoneRfid
Bluetooth
Near Location
Communication
Videosorveglianza
BiometriaBehaviour
Control
Cloud
computing
Telemedicina
Fascicolo
Sanitario
Elettronico
Dossier
Sanitario
Spam e mail
marketing
selvaggio
www.datasecurity.it
25 Information Security & Privacy
Tecnologie sempre più invasive e pervasive
I sistemi di videosorveglianza per la rilevazione targhe
Possono ricostruire gli spostamenti di cittadini “innocenti”
Spesso i dati sono conservati indefinitamente, o per periodi molto lunghi
Vi possono essere problematiche di “esattezza” dei dati (es. accesso database veicoli rubati, database ANIA) e quindi di azioni che possono fortemente limitare la libertà dei cittadini
www.datasecurity.it
26 Information Security & Privacy
I dati devono essere esatti e aggiornati:
facile a dirsi ….
Videosorveglianza: uno dei casi in cui è
necessario effettuare la Valutazione
d’impatto sulla protezione dei dati
(novità introdotta dall’art. 33)
Dati esatti e aggiornati
www.datasecurity.it
27 Information Security & Privacy
Quando il trattamento, per la sua natura, il
suo oggetto, o le sue finalità, presenta rischi
specifici per i diritti e le libertà degli
interessati, il titolare del trattamento effettua
una valutazione d’impatto del trattamento
previsto sulla protezione dei dati personali
Presentano rischi specifici ai sensi del punto
precedente i seguenti trattamenti:
Art. 33 – Valutazione d’impatto sulla protezione dei dati
www.datasecurity.it
28 Information Security & Privacy
Il trattamento di informazioni concernenti la vita
sessuale, lo stato di salute, la razza e l’origine etnica
oppure destinato alla prestazione di servizi sanitari o
a ricerche epidemiologiche o indagini su malattie
mentali o infettive
…
La sorveglianza di zone accessibili al pubblico, in
particolare se effettuata mediante dispositivi ottico-
elettronici (videosorveglianza) su larga scala
Art. 33 – Valutazione d’impatto sulla protezione dei dati
www.datasecurity.it
29 Information Security & Privacy
Minacce sempre più frequenti alla sicurezza e alla privacy
Perdita di fiducia e “diffidenza” nelle nuove tecnologie
Freno alla diffusione dell’economia digitale
Sanzioni estremamente frequenti, pesanti e numerose comminate degli organi di controllo
Veri e propri abusi, con grave violazione della privacy e della sicurezza
Perdite economiche (risarcimenti danni)
Danni di immagine
Conseguenze e altri fenomeni
www.datasecurity.it
30 Information Security & Privacy
C’è qualcosa che non funziona
Scandalo Datagate:
tutti intercettati
www.datasecurity.it
33 Information Security & Privacy
Disponibile anche
gratuitamente
online
www.datasecurity.it
35 Information Security & Privacy
Risarcimento danni di 500.000 Euro (circa 1
miliardo di lire) che una Struttura Sanitaria ha
dovito risarcire per non aver custodito
adeguatamente la documentazione relativa allo
stato di salute di un cittadino, sia in formato
cartaceo che elettronico
www.datasecurity.it
38 Information Security & Privacy
Susanna Fiorini, 49 anni, cambiava i risultati degli esami e li
spediva, sbagliati, ai clienti
Tra le ipotesi sul movente, la rappresaglia contro la Asl o per non dover
richiamare i pazienti
Manometteva i referti oncologici
Ai domiciliari infermiera di Livorno
LIVORNO - Manometteva i referti del Corat di Livorno, il centro di raccolta degli
esami oncologici della Asl, e poi li spediva ai pazienti. E' l'accusa per la quale
un'infermiera è stata arrestata, in esecuzione di ordinanza di custodia cautelare
ai domiciliari. I referti manomessi sarebbero stati più di 400, 33 pap test e 368
al colon retto, e questo avrebbe provocato ritardi nella diagnosi di 18 casi di
tumore al colon.
www.datasecurity.it
39 Information Security & Privacy
Cartelle cliniche perse per strada
Un passante notò due grossi sacchi di plastica azzurra abbandonati in mezzo
alla via. Incuriosito, si avvicinò e si rese conto che in essi si trovavano cartelle
cliniche di un ospedale.
Nel corso del trasporto da una sede all’altra, l’autista del furgone non aveva
fissato solidamente i sacchi contenenti le cartelle cliniche, per cui nel trasporto
due di questi erano caduti a terra, senza che egli se ne accorgesse. Il Garante
ha sanzionato sia l’Ospedale sia l’autista, in quanto egli operava sotto la
responsabilità dell’ente ospedaliero.
www.datasecurity.it
40 Information Security & Privacy
Cartelle cliniche ai giardinetti
Sacchi di cartelle cliniche abbandonati in mezzo ai giardini.
Nelle vicinanze si trovava un capannone, utilizzato come archivio per le
cartelle cliniche da parte di una Casa di Cura
A causa di un principio d’incendio, il personale aveva spostato alcuni
sacchi di cartelle cliniche in una zona non coinvolta dall’incendio, per
poi “dimenticarsene” per circa una settimana.
L’Autorità Garante ha comminato sanzioni severe per non aver protetto
adeguatamente i dati sensibili (relativi allo stato di salute dei pazienti).
www.datasecurity.it
41 Information Security & Privacy
Il nuovo Regolamento
Quali concetti e strumenti chiave introdurrà il nuovo Regolamento
per risolvere le criticità evidenziate in precedenza ?
Lungo quali “dimensioni” interverrà il Regolamento ?
Quale cambiamento radicale introdurrà il Regolamento nel modo
concreto di gestire la sicurezza e la privacy ?
Passaggio da una dimensione “compilativa” ad una dimensione di
“Responsabilità”, che comporta la responsabilizzazione nella
verifica periodica dell’efficacia degli strumenti messi in atto
Il Regolamento costringerà a modificare i comportamenti
Che cosa dovremo fare in pratica ?
www.datasecurity.it
42 Information Security & Privacy
Il nuovo Regolamento
Misura di sicurezza: “abbiamo predisposto una
procedura operativa che prevede di disabilitare un utente
all’atto delle dimissioni”
Qualcuno la mette in atto questa procedura operativa ?
Con che frequenza ?
E’ stato individuato chi precisamente deve disabilitare gli utenti ?
C’è qualcuno che comunica a chi di dovere quali utenti hanno dato le
dimissioni ?
Viene prodotto un resoconto/certificazione delle operazioni effettuate ?
Come si procede in caso di assenza/indisponibilità di chi deve
disabilitare ?
www.datasecurity.it
43 Information Security & Privacy
Il nuovo Regolamento
Misura di sicurezza: “abbiamo installato un firewall”
Il firewall offre un livello adeguato di protezione perimetrale ?
Vengono effettuati periodicamente dei “Security Test” per valutare
l’adeguatezza della protezione perimetrale ?
Qualcuno analizza periodicamente i file di log ?
Che azioni vengono intraprese a fronte dell’analisi dei file di log ?
Le regole del firewall sono tenute aggiornate ?
Il firewall è collegato ?
Il comportamento del firewall è diverso da un filo di rame ?
www.datasecurity.it
44 Information Security & Privacy
CAPO 1 – DISPOSIZIONI GENERALI
Art. 1 –Oggetto e finalità
Art. 2 – Campo di applicazione materiale
Art. 3 – Campo di applicazione territoriale
CAPO 2 - PRINCIPI
Art. 4 – Definizioni
Art. 5 – Principi applicabili al trattamento di dati personali
Art. 6 – Liceità del trattamento
Art. 7 – Condizioni per il consenso
Art. 8 – Trattamento dei dati personali dei minori
Art. 9 – Trattamento di categorie particolari di dati personali
Art. 10 – Trattamento che non consente identificazione
CAPO 3 – DIRITTI DELL’INTERESSATO
SEZIONE 1 – TRASPARENZA E MODALITA’
Art. 11 – Informazioni e comunicazioni trasparenti
Art. 12 – Procedure e meccanismi per l’esercizio dei diritti dell’interessato
Art. 13 – Diritti relativi ai destinatari
La struttura del Regolamento
www.datasecurity.it
45 Information Security & Privacy
SEZIONE 2 – INFORMAZIONI E ACCESSO AI DATI
Art. 14 – Informazioni all’interessato
Art. 15 – Diritto do accesso dell’interessato
SEZIONE 3 – RETTIFICA E CANCELLAZIONE
Art. 16 – Diritto di rettifica
Art. 17 – Diritto all’oblio e alla cancellazione
Art. 18 – Diritto alla portabilità dei dati
SEZIONE 4 – DIRITTO DI OPPOSIZIONE E PROFILAZIONE
Art. 19 – Diritto di opposizione
Art. 20 – Misure basate sulla profilazione
SEZIONE 5 – LIMITAZIONI
Art. 21 – Limitazioni
CAPO IV – RESPONSABILE DEL TRATTAMENTO E INCARICATO DEL
TRATTAMENTO
SEZIONE 1 – OBBLIGHI GENERALI
Art. 22 – Responsabilità del Responsabile del trattamento
Art. 23 – Protezione fin dalla progettazione e protezione di default
Art. 24 – Corresponsabili del trattamento
La struttura del Regolamento
www.datasecurity.it
46 Information Security & Privacy
Art. 25 – Rappresentanti di responsabili del trattamento non stabiliti
nell’unione
Art. 26 – Incaricato del trattamento
Art. 27 – Trattamento sotto l’autorità del responsabile del trattamento e
dell’incaricato del trattamento
Art. 28 – Documentazione
Art. 29 – Cooperazione con l’autorità di controllo
SEZIONE 2 – SICUREZZA DEI DATI
Art. 30 – Sicurezza del trattamento
Art. 31 – Notificazione di una violazione dei dati personali all’autorità di
controllo
Art. 32 – Comunicazione di una violazione dei dati personali all’interessato
SEZIONE 3 – VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI
E AUTORIZZAZIONE PREVENTIVA
Art. 33 – Valutazione d’impatto sulla protezione dei dati
Art. 34 – Autorizzazione preventiva e consultazione preventiva
SEZIONE 4 – RESPONSABILE DELLA PROTEZIONE DEI DATI
Art. 35 – Designazione del responsabile della protezione dei dati
La struttura del Regolamento
www.datasecurity.it
47 Information Security & Privacy
Art. 36 – Posizione del responsabile del trattamento dei dati
Art. 26 – Compiti del responsabile della protezione dei dati
Art. 27 – SEZIONE 5 – CODICI DI CONDOTTA E CERTIFICAZIONE
Art. 38 – Codici di condotta
Art. 39 – Certificazione
CAPO V _ TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI
O ORGANIZZAZIONI INTERNAZIONALI
Art. 40 – Principio generale per il trasferimento
Art. 41 – Trasferimento previa decisione di adeguatezza
Art. 42 – Trasferimento in presenza di garanzie adeguate
Art. 43 – Trasferimento in presenza di norme vincolanti d’impresa
Art. 44 – Deroghe
Art. 45 – Cooperazione internazionale per la protezione dei dati personali
CAPO VI _ AUTORITA’ DI CONTROLLO INDIPENDENTI
SEZIONE 1 – INDIPENDENZA
Art. 47- Indipendenza
Art. 48 – Condizioni generali per i membri dell’autorità di controllo
Art. 49 – Norme sull’istituzione dell’autorità di controllo
La struttura del Regolamento
www.datasecurity.it
48 Information Security & Privacy
Art. 50 – Segreto professionale
SEZIONE 2 – FUNZIONI E POTERI
Art. 52 – Funzioni
Art. 53 – Poteri
Art. 54 – Relazione di attività
CAPO VII – COOPERAZIONE E COERENZA
SEZIONE 1 – COOPERAZIONE
Art. 55 – Assistenza reciproca
Art. 56 – Operazioni congiunte delle autorità di controllo
SEZIONE 2 – COERENZA
Art. 57 – Meccanismo di coerenza
Art. 58 – Parere del Comitato Europeo per la protezione dei dati
Art. 59 – Parere della commissione
Art. 60 – Sospensione di un progetto di misura
Procedura d’urgenza
Art. 62 – Atti di esecuzione
Art. 63 – Esecuzione
SEZIONE 3 – COMITATO EUROPEO PER LA PROTEZIONE DEI DATI
La struttura del Regolamento
www.datasecurity.it
49 Information Security & Privacy
Art. 64 – Comitato europeo per la protezione dei dati
Art. 65 – Indipendenza
Art. 66 – Compiti del Comitato europeo per la protezione dei dati
Art. 67 – Relazioni
Art. 68 – Procedura
Art. 69 – Presidenza
Art. 70 – Compiti del Presidente
Art. 71 – Segreteria
Art. 72 – Riservatezza
CAPO VII – RICORSI, RESPONSABILITA’ – SANZIONI
Art. 73 – Diritto di proporre reclamo all’autorità di controllo
Art. 74 – Diritto a un ricorso giurisdizionale contro l’autorità di controllo
Art. 75 – Diritto a un ricorso giurisdizionale contro il responsabile del
trattamento o l’incaricato del trattamento
Art. 76 – Norme comuni per i procedimenti giurisdizionali
Art. 77 – Diritto al risarcimento e responsabilità
Art. 78 – Sanzioni
Art. 79 – Sanzioni Amministrative
La struttura del Regolamento
www.datasecurity.it
50 Information Security & Privacy
CAPO IX _ DISPOSIZIONI RELATIVE A SPECIFICHE SITUAZIONI DI
TRATTAMENTO DEI DATI
Art. 80 – Trattamento di dati personali e libertà di espressione
Art. 81 – Trattamento dei dati personali relativi alla salute
Art. 82 – Trattamento dei dati nei rapporti di lavoro
Art. 83 – Trattamento per finalità storiche, statistiche e di ricerca scientifica
Art. 84 – Obblighi si segretezza
Art. 85 – Norme di protezione dei dati vigenti presso chiese e associazioni
religiose
CAPO X – ATTI DELEGATI E ATTI DI ESECUZIONE
Art. 86 – Esercizio della delega
Art. 87 – Procedura di comitato
CAPO XI – Disposizioni finali
Art. 88 – Abrogazione della direttiva 95/46/CE
Art. 89 – Rapporto con la direttiva 95/46/CE e sue modifiche
Art. 90 – Valutazione
Art. 91 – Entrata in vigore e applicazione
La struttura del Regolamento
www.datasecurity.it
51 Information Security & Privacy
Molte meno definizioni rispetto al D.Lgs. 196/2003 (conteneva 37 definizioni, mentre il regolamento ne contiene solo 19)
“Dati personali”: qualsiasi informazione concernente l’interessato
“Consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata ed esplicita con la quale l’interessato accetta, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento
“Dati genetici”: tutti i dati, di qualsiasi natura, riguardanti le caratteristiche di una persona fisica che siano ereditarie o acquisite in uno stadio precoce di sviluppo prenatale
“Dati biometrici”: i dati relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona che ne consentono l’identificazione univoca, quali l’immagine facciale o i rilievi dattiloscopici
Art. 4 - Definizioni
www.datasecurity.it
52 Information Security & Privacy
“Dati relativi alla salute”: qualsiasi informazione attinente alla salute fisica o mentale di una persona o alla prestazione di servizi sanitari a detta persona
“Responsabile del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità, le condizioni e i mezzi del trattamento di dati personali; quando le finalità, le condizioni e i mezzi del trattamento sono determinati dal diritto dell’unione o dal diritto di uno stato membro, il responsabile del trattamento o i criteri specifici applicabili alla sua nomina possono essere designati dal diritto dell’unione o dal diritto dello stato membro
“Incaricato del trattamento”: la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento
Art. 4 - Definizioni
www.datasecurity.it
53 Information Security & Privacy
A livello di definizioni il Regolamento presenta una clamorosa lacuna
Lacuna che è presente anche nelle definizioni dell’attuale D.Lgs. 196/2003
Non viene definito un concetto di importanza fondamentale
Non viene definito il concetto di ….
Art. 4 - Definizioni
www.datasecurity.it
54 Information Security & Privacy
NON VIENE DEFINITO IL CONCETTO DI
S I C U R E Z Z A
Art. 4 - Definizioni
www.datasecurity.it
55 Information Security & Privacy
Sicurezza
Riservatezza: accessibile solo a chi è
autorizzato, non accessibile a chi
non è autorizzato
Integrità: la risorsa deve essere corretto,
aggiornato, non corrotto o
“falsificato”
Disponibilità: la risorsa deve essere sempre
agevolmente disponibile a chi
vi può lecitamente accedere
Definizione di “Sicurezza”
www.datasecurity.it
56 Information Security & Privacy
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Principio di resposabilità
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
Le dimensioni di intervento del Regolamento
www.datasecurity.it
57 Information Security & Privacy
Saranno soggetti al regolamento non solo i soggetti stabiliti all’interno
dell’UE, ma anche i soggetti stabiliti fuori dall’UE, che offrono prodotti
e servizi all’interno dell’UE
Caso reale: servizio UBER per la prenotazione dei taxi
Caso reale: servizi forniti da Google
Sarà possibile rivolgersi
all’autorità di controllo di qualsiasi
stato UE
Competenza territoriale
www.datasecurity.it
58 Information Security & Privacy
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Responsabilità
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
Le dimensioni di intervento del Regolamento
www.datasecurity.it
59 Information Security & Privacy
Trasparenza
INTERESSATO
TITOLARE
DATI PERSONALI
Dati personali
TRATTAMENTI
3
4
1
2Informativa
Consenso
Finalità
5
6
7
Diritto di accesso ai dati personali
8Riscontro alle richieste dell'interessato
www.datasecurity.it
60 Information Security & Privacy
Informativa rappresenta le “regole del gioco” del trattamento dei
dati
Deve sempre essere fornita
Deve essere fornita “previamente” all’interessato
Un’informativa corretta e completa è presupposto fondamentale
per la validità del consenso
Posso avere un’informativa senza consenso
Posso avere informativa e consenso
NON posso avere un consenso che non sia preceduto da idonea
informativa
Attenzione a non confondere informativa con consenso
www.datasecurity.it
61 Information Security & Privacy
L’onere di dimostrare che l’interessato ha espresso il consenso al
trattamento dei suoi dati personali per scopi specifici incombe sul
titolare del trattamento
Se il consenso dell’interessato deve essere fornito nel contesto di
una dichiarazione scritta che riguarda anche altre materie,
l’obbligo di prestare il consenso deve essere presentato in forma
distinguibile dalle altre materie
Non sono valide formule del tipo “aderendo alla presente iniziativa
Lei fornisce implicitamente il consenso al trattamento dei dati”
Il consenso può essere revocato in qualsiasi momento (senza
dover fornire una motivazione). La revoca del consenso non
pregiudica la liceità del trattamento basata sul consenso prima
della revoca.
Art. 7: La nuova disciplina del consenso
www.datasecurity.it
62 Information Security & Privacy
Esplicitare nelle informative i tempi di conservazione dei dati personali
Obbligo di comunicare i tempi di conservazione su richiesta
dell’interessato
I tempi di conservazione potranno essere utilizzati per far valere la
richiesta di cancellazione (diritto all’oblio)
Esplicitare nelle informative il diritto di proporre reclamo all’autorità di
controllo e le coordinate di controllo di detta autorità
Esplicitare nelle informative il Responsabile della protezione dei dati
Obbligo di notificare una violazione dei dati all’Autorità Garante
Obbligo di comunicare una violazione dei dati agli interessati
Obbligo di comunicare il Responsabile della protezione dei dati
all’Autorità Garante
Trasparenza
www.datasecurity.it
63 Information Security & Privacy
Trasparenza – Impatti sull’informativa
Informativa relativa al
trattamento dei dati personali
Informativa relativa al trattamento
dei dati personali
Tempi di conservazione
Responsabile della
sicurezza dei dati
Possibilità di proporre
reclamo all’autorità di
controllo e relative
coordinate
www.datasecurity.it
64 Information Security & Privacy
Commisurati e non eccedenti rispetto alle finalità
Tenere conto di eventuali prescrizioni di legge
Tempo di conservazione delle cartelle cliniche: illimitato
Tempi di conservazione dei dati relativi alla geolocalizzazione
utilizzati dai social network e dalle applicazioni “di prossimità” ?
Tempi di conservazione dei dati relativi alla geolocalizzazione
dei veicoli utilizzati per la raccolta dei rifiuti urbani ? (pone
problemi di controllo a distanza e tutela dei lavoratori )
Tempi di conservazione dei dati relativi alla geolocalizzazione
tramite GPS installato a bordo delle auto e delle moto degli
agenti di Polizia Locale ?
Tempi di conservazione dei dati personali
www.datasecurity.it
65 Information Security & Privacy
Tempi di conservazione delle immagini registrate dalle
telecamere installate a bordo dei veicoli utilizzati da Carabinieri e
Polizia di Stato
Tempi di conservazione delle nostre query da parte di Google ?
Tempi di conservazione dei curricula ?
Tempi di conservazione dei files di log relativi alla navigazione
internet ?
Tempi di conservazione delle cartelle sanitarie e di rischio da
parte del datore di lavoro ?
Tempi di conservazione relativamente alle telecamera per la
rilevazione delle targhe ?
Tempi di conservazione dei dati personali
www.datasecurity.it
66 Information Security & Privacy
Trasparenza – Notificazione - Comunicazione
INTERESSATO
TITOLARE
Violazione
Autorità di controllo
“Violazione di sicurezza che comporta accidentalmente o in
modo illecito la distruzione, la perdita, la modifica, la
rivelazione non autorizzata o l’accesso ai dati personali
trasmessi, memorizzati o comunque elaborati “
ALTRO
TITOLARE
Controllo da parte del
Responsabile della
protezione dei dati
www.datasecurity.it
67 Information Security & Privacy
Definizione di violazione dei dati personali
“Violazione di sicurezza che comporta accidentalmente o in
modo illecito la distruzione, la perdita, la modifica, la
rivelazione non autorizzata o l’accesso ai dati personali
trasmessi, memorizzati o comunque elaborati”
Non necessariamente la violazione deve essere effettuata
dall’esterno
Qualcuno potrebbe non avere interesse a rendere nota la
violazione
www.datasecurity.it
68 Information Security & Privacy
Definizione di violazione dei dati personali
www.datasecurity.it
69 Information Security & Privacy
Definizione di violazione dei dati personali
“Violazione di sicurezza che comporta accidentalmente o in
modo illecito la distruzione, la perdita, la modifica, la
rivelazione non autorizzata o l’accesso ai dati personali
trasmessi, memorizzati o comunque elaborati”
Non necessariamente la violazione deve essere effettuata
dall’esterno
Qualcuno potrebbe non avere interesse a rendere nota la
violazione
“biggest data breaches”
www.datasecurity.it
70 Information Security & Privacy
Definizione di violazione dei dati personali
“Violazione di sicurezza che comporta accidentalmente o in
modo illecito la distruzione, la perdita, la modifica, la
rivelazione non autorizzata o l’accesso ai dati personali
trasmessi, memorizzati o comunque elaborati”
Non necessariamente la violazione deve essere effettuata
dall’esterno
Qualcuno potrebbe non avere interesse a rendere nota la
violazione
www.datasecurity.it
71 Information Security & Privacy
Definizione di violazione dei dati personali
“Violazione di sicurezza che comporta accidentalmente o in
modo illecito la distruzione, la perdita, la modifica, la
rivelazione non autorizzata o l’accesso ai dati personali
trasmessi, memorizzati o comunque elaborati”
Non necessariamente la violazione deve essere effettuata
dall’esterno
Qualcuno potrebbe non avere interesse a rendere nota la
violazioneCome conseguenza della
violazione, l’amministratore
delegato dell’azienda ha
dovuto dare le dimissioni
Spesa di 7 milioni di dollari
per avvertire gli interessati
e per mettere ulteriormente
in sicurezza il sistema
www.datasecurity.it
72 Information Security & Privacy
Trasparenza – Notificazione - Comunicazione
INTERESSATO
TITOLARE
Violazione
Autorità di controllo
“Violazione di sicurezza che comporta accidentalmente o in
modo illecito la distruzione, la perdita, la modifica, la
rivelazione non autorizzata o l’accesso ai dati personali
trasmessi, memorizzati o comunque elaborati “
ALTRO
TITOLARE
Controllo da parte del
Responsabile della
protezione dei dati
Sanzione fino a
1.000.000 di Euro o fino
al 2% del fatturato
mondiale
www.datasecurity.it
73 Information Security & Privacy
Perdita di dati
Furto di dati (non necessariamente in formato elettronico: possono essere anche in formato cartaceo)
Alterazione di cartelle cliniche
Alterazione di cartelle esattoriali
Alterazione di verbali relativi al Codice della Strada
Invio di dati all’esterno
Intercettazione di dati
Accesso abusivo al sistema
Esempi di violazioni
www.datasecurity.it
74 Information Security & Privacy
Perdita di dati
Furto di dati (non necessariamente in formato elettronico: possono essere anche in formato cartaceo)
Alterazione di cartelle cliniche
Alterazione di cartelle esattoriali
Alterazione di verbali relativi al Codice della Strada
Invio di dati all'esterno
Intercettazione di dati
Accesso abusivo al sistema
Invio di dati all’esterno
www.datasecurity.it
75 Information Security & Privacy
Notificazione di violazione all’autorità di controllo
In caso di violazione dei dati personali, il titolare notifica la
violazione all’autorità di controllo senza ritardo, ove possibile
entro le 24 ore dal momento in cui ne è venuto a conoscenza
www.datasecurity.it
76 Information Security & Privacy
Contenuto minimo della notificazione
La notificazione deve come minimo:
• Descrivere la natura della violazione dei dati personali, compresi le categorie e
il numero di interessati in questione e le categorie e il numero di registrazioni
dei dati in questione
• Indicare l’identità e le coordinate di contatto del Privacy Officer o di altro punto
di contatto
• Elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli
delle violazioni dei dati personali
• Descrivere le conseguenze della violazione dei dati personali
• Descrivere le misure proposte o adottate dal titolare del trattamento per porre
rimedio alla violazione dei dati personali
www.datasecurity.it
77 Information Security & Privacy
Comunicazione di una violazione di dati personali all’interessato
Quando la violazione di dati personali rischia di pregiudicare i dati
personali dell’interessato, il titolare del trattamento, dopo aver
provveduto alla notificazione di cui al punto precedente, comunica la
violazione all’interessato senza ingiustificato ritardo.
La comunicazione all’interessato descrive la natura della violazione
dei dati e contiene almeno le coordinate di contatto del responsabile
della protezione dei dati e le misure raccomandate per attenuare i
possibili effetti pregiudizievoli della violazione dei dati personali
www.datasecurity.it
78 Information Security & Privacy
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Principio di responsabilità
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
Le dimensioni di intervento del Regolamento
www.datasecurity.it
79 Information Security & Privacy
Lo scenario
INTERESSATO
TITOLARE
DATI PERSONALI
Dati personali
TRATTAMENTI
3
4
1
2Informativa
Consenso
Finalità
5
6
7
Diritto di accesso ai dati personali
8Riscontro alle richieste dell'interessato
www.datasecurity.it
80 Information Security & Privacy
CRITICITA’
Alle richieste di accesso ai dati personali ai sensi dell’art. 7 del D.Lgs. 196/2003, non viene dato riscontro in circa l’80% dei casi
Attualmente il mancato o incompleto o tardivo riscontro non viene sanzionato
Con il nuovo Regolamento, il mancato o tardivo o incompleto riscontro sarà punito con la
SANZIONE FINO A 250.000 EURO OPPURE FINO ALLO 0,5 % DEL FATTURATO MONDIALE
Facilitazione dell’esercizio dei diritti dell’interessato
www.datasecurity.it
81 Information Security & Privacy
PUNTI DI ATTENZIONE’
Per esercitare i diritti di accesso previsti dall’art. 7 del
D.Lgs. 196/2003 (e dal futuro art. 15 del Regolamento),
l’interessato non deve specificare una motivazione
Spesso l’accesso di cui sopra viene confuso con
l’accesso agli atti e ai documenti amministrativi, per il
quale deve essere fornita una motivazione …
… e l’interessato deve dimostrare di avere un interesse
diretto, concreto e attuale
Facilitazione dell’esercizio dei diritti dell’interessato
www.datasecurity.it
82 Information Security & Privacy
Il titolare del trattamento stabilisce le procedure secondo le quali
fornire l’informativa e le procedure per gestire le richieste di
esercizio dei diritti dell’interessato
Qualora i dati siano trattati con modalità automatizzate, il
responsabile del trattamento predispone altresì i mezzi per inoltrare
le richieste per via elettronica
Se l’interessato presenta la richiesta in forma elettronica, le
informazioni sono fornite in formato elettronico, salvo diversa
indicazione dell’interessato
Il titolare deve dare riscontro alla richiesta al massimo entro un
mese
Facilitazione dell’esercizio dei diritti dell’interessato
www.datasecurity.it
83 Information Security & Privacy
Il titolare del trattamento stabilisce le procedure
secondo le quali fornire l’informativa e le
procedure per gestire le richieste di esercizio dei
diritti dell’interessato
Qualora i dati siano trattati con modalità
automatizzate, il responsabile del trattamento
predispone altresì i mezzi per inoltrare le richieste
per via elettronica
Se l’interessato presenta la richiesta in forma
elettronica, le informazioni sono fornite in
formato elettronico, salvo diversa indicazione
dell’interessato
Il titolare deve dare riscontro alla richiesta al
massimo entro un mese
Facilitazione dell’esercizio dei diritti dell’interessato
Sanzione fino a 250.000 Euro oppure
fino allo 0,5 del fatturato mondiale
annuo
Sanzione fino a 250.000 Euro oppure
fino allo 0,5 del fatturato mondiale
annuo
Sanzione fino a 500.000 Euro oppure
fino allo 0,5 del fatturato mondiale
annuo
Sanzione fino a 250.000 Euro oppure
fino allo 0,5 del fatturato mondiale
annuo
www.datasecurity.it
84 Information Security & Privacy
Il titolare del trattamento stabilisce le procedure
secondo le quali fornire l’informativa e le
procedure per gestire le richieste di esercizio dei
diritti dell’interessato
Qualora i dati siano trattati con modalità
automatizzate, il responsabile del trattamento
predispone altresì i mezzi per inoltrare le richieste
per via elettronica
Se l’interessato presenta la richiesta in forma
elettronica, le informazioni sono fornite in
formato elettronico, salvo diversa indicazione
dell’interessato
Il titolare deve dare riscontro alla richiesta al
massimo entro un mese
Facilitazione dell’esercizio dei diritti dell’interessato
Sanzione fino a 250.000 Euro oppure
fino allo 0,5 del fatturato mondiale
annuo
Sanzione fino a 250.000 Euro oppure
fino allo 0,5 del fatturato mondiale
annuo
Sanzione fino a 500.000 Euro oppure
fino allo 0,5 del fatturato mondiale
annuo
Viene introdotta la sanzione per
punire il mancato o inidoneo
riscontro alle richieste
dell’interessato, attualmente
non sanzionata
Attualmente non viene dato
riscontro alle richieste
dell’interessato in circa
l’80% dei casi
www.datasecurity.it
85 Information Security & Privacy
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Accountability
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
Le dimensioni di intervento del Regolamento
www.datasecurity.it
86 Information Security & Privacy
Errate interpretazioni
Aspettative troppo elevate
Moltissimi casi nei quali non può essere concessa la cancellazione dei dati
Affermazione: “In qualsiasi momento l’interessato può richiedere ed ottenere la cancellazione dei propri dati personali” è completamente falsa
Richiesta ad un ospedale di cancellare la propria cartella clinica
Richiesta ad una banca con la quale non intrattengo più rapporti di cancellare tutti i dati personali
Richiesta ad un datore di lavoro di cancellare il mio fascicolo personale
Diritto all’oblio
www.datasecurity.it
87 Information Security & Privacy
I dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati
Il periodo di conservazione è scaduto e non sussiste altro motivo legittimo per trattare i dati
Quando il trattamento non è conforme al regolamento
Vi sono numerose casistiche nelle quali:
Il responsabile può non procedere alla cancellazione dei dati (es. per l’esercizio di un diritto di cronaca)
al posto di effettuare una cancellazione, il titolare può mettere in atto la c.d. “limitazione”
Casi nei quali si può essere presa in considerazione la cancellazione
www.datasecurity.it
88 Information Security & Privacy
Quando ha reso pubblici dati personali, il responsabile del
trattamento prende tutte le misure ragionevoli, anche tecniche,
in relazione ai dati della cui pubblicazione è responsabile per
informare i terzi che stanno trattando tali dati, della richiesta
dell’interessato di cancellare qualsiasi link, copia o
riproduzione dei suoi dati personali. Se ha autorizzato un terzo
a pubblicare dati personali, il responsabile del trattamento è
ritenuto responsabile della pubblicazione
Casi nei quali si può essere presa in considerazione la cancellazione
www.datasecurity.it
89 Information Security & Privacy
www.datasecurity.it
90 Information Security & Privacy
Il diritto all’oblio si applicherà soprattutto nei casi di
dati pubblicati online, che risulteranno essere falsi,
non corretti, offensivi o diffamatori, o non più
necessari o non più rilevanti
Casi nei quali si può essere presa in considerazione la cancellazione
www.datasecurity.it
91 Information Security & Privacy
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Accountability
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
Le dimensioni di intervento del Regolamento
www.datasecurity.it
92 Information Security & Privacy
Portabilità dei dati: lo scenario
SISTEMA
SORGENTE
A’
SISTEMA
DESTINAZIONE
B
A B’
www.datasecurity.it
93 Information Security & Privacy
“Ingresso e uscita dai social network” … ma non solo
L’interessato ha il diritto, ove i dati personali siano trattati con mezzi
elettronici e in formato strutturato e di uso comune, di ottenere dal
responsabile del trattamento copia dei dati trattati in un formato
elettronico e strutturato che sia di uso comune e gli consenta di
farne ulteriore uso
Portabilità dei dati
www.datasecurity.it
94 Information Security & Privacy
“Ingresso e uscita dai social network”: ma non solo
Se ha fornito i dati personali e il trattamento si basa sul consenso o
su un contratto, l’interessato ha il diritto di trasmettere tali dati
personali e ogni altra informazione fornita e conservata in un
sistema di trattamento automatizzato ad un altro sistema in un
formato elettronico di uso comune, senza impedimenti da parte del
responsabile del trattamento da cui sono richiamati i dati
Portabilità dei dati
Viene introdotta la sanzione per
punire chi impedisce
l’esportazione dei dati dal
sistema “sorgente”
Sanzione fino a 500.000 Euro o
fino allo 0,5 % del fatturato
annuo, per le imprese
www.datasecurity.it
95 Information Security & Privacy
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Principio di responsabilità
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
Le dimensioni di intervento del Regolamento
www.datasecurity.it
96 Information Security & Privacy
Art. 5 lett f): I dati personali devono essere trattati sotto la
responsabilità del titolare del trattamento, che assicura e
comprova, per ciascuna operazione, la conformità al
Regolamento
Art. 22 c. 1: Il titolare del trattamento adotta politiche e attua
misure adeguate per garantire di essere in grado di dimostrare
che il trattamento dei dati personali è conforme al presente
regolamento
Art. 22 c. 3: Il titolare del trattamento mette in atto meccanismi
per assicurare la verifica dell’efficacia delle misure di sicurezza
di cui all’art. 30. Qualora ciò sia proporzionato, la verifica è
effettuata da revisori interni o esterni indipendenti
Principio di responsabilità
www.datasecurity.it
97 Information Security & Privacy
Il titolare del trattamento deve:
Principio di responsabilità
ASSICURARE
COMPROVARE
ESSERE IN GRADO DI DIMOSTRARE
ASSICURARE L’EFFICACIA
ASSICURARE LA VERIFICA
www.datasecurity.it
98 Information Security & Privacy
Il titolare del trattamento deve:
Assicurare che le cartelle cliniche non potranno essere alterate ?
Assicurare che un determinato sito web di commercio elettronico è sufficientemente protetto da attacchi esterni ?
Assicurare che i dati personali siano trattati in
Assicurare che i dati sono esatti ?
Assicurare che tutte la violazioni siano tempestivamente notificate ?
Assicurare che le misure di sicurezza siano efficaci ?
Principio di responsabilità
www.datasecurity.it
99 Information Security & Privacy
Un nuovo modello di gestione della sicurezza
In qualche modo
individuo le
misure di
sicurezza
Me ne dimentico,
tanto nessuno
controlla, oppure
se controlla lo fa
superficialmente
www.datasecurity.it
100 Information Security & Privacy
Sicurezza
Riservatezza: accessibile solo a chi è
autorizzato, non accessibile a chi
non è autorizzato
Integrità: la risorsa deve essere corretto,
aggiornato, non corrotto o
“falsificato”
Disponibilità: la risorsa deve essere sempre
agevolmente disponibile a chi
vi può lecitamente accedere
Definizione di “Sicurezza”
www.datasecurity.it
101 Information Security & Privacy
Riservatezza:
accessibile solo a chi è autorizzato, non accessibile
a chi non è autorizzato
Integrità:
il dato deve essere corretto, aggiornato, non
corrotto o “falsificato”
Disponibilità:
il dato deve essere sempre agevolmente
disponibile a chi ne può lecitamente accedere
Rottura di un hard disk
Virus
Assenza di password
Profili mal configurati
Perdita di chiavetta USB
Furto di PC
Assenza dell’incaricato
Comunicazione di password
Modifica di doc. protocollato
Furto di documenti
Pubbl. illecita su Internet
Accesso a dati giudiziari
perdita di
perdita di
perdita di
EVENTICONSEGUENZE
www.datasecurity.it
102 Information Security & Privacy
Riservatezza:
accessibile solo a chi è autorizzato, non accessibile
a chi non è autorizzato
Integrità:
il dato deve essere corretto, aggiornato, non
corrotto o “falsificato”
Disponibilità:
il dato deve essere sempre agevolmente
disponibile a chi ne può lecitamente accedere
Sostituzione di un PC
Dimissioni di un dipendente
Introduzione di un nuovo
server
Attivazione di collegamento
remoto
Introduzione di un nuovo
programma applicativo
Nuova normativa
Violazione di dati
Nuova vulnerabilità
Nuova release di S.O.
perdita di
perdita di
perdita di
EVENTICONSEGUENZE
www.datasecurity.it
103 Information Security & Privacy
Un nuovo modello di gestione della sicurezza
Risk
Assessment
Controlli periodici
Verifica efficacia misure di sicurezza
Verifica corretta applicazione norme e misure
Definizione nuove misure di sicurezza
Gestione degli eventi
Rilevazione “incidenti” e non conformità
Gestione “incidenti” e non confomità
Misure di
sicurezzaProcessi e
Qualità
www.datasecurity.it
104 Information Security & Privacy
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Accountability
Obbligo della documentazione
Privacy by design
Privacy by default
Obbligo della documentazione
www.datasecurity.it
105 Information Security & Privacy
Obbligo della documentazione
Gestione della documentazione
Art. 28: Ogni titolare del trattamento conserva la
documentazione di tutti i trattamenti effettuati sotto la propria
responsabilità
Finalità del trattamento, categorie di interessati, categorie di dati personali,
ambito di comunicazione dei dati, soggetti esterni coinvolti nel trattamento,
tempi di conservazione, analisi dei rischi e degli impatti, misure di sicurezza
adottate, meccanismi per assicurare la verifica dell’efficacia delle misure di
sicurezza, eventuale indicazione dei trasferimenti verso un paese terzo
www.datasecurity.it
106 Information Security & Privacy
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Accountability
Obbligo della documentazione
Privacy by design
Privacy by default
Sanzioni
Privacy by design
www.datasecurity.it
107 Information Security & Privacy
Privacy by design
Art. 23: Al momento di determinare i mezzi del trattamento e
all’atto del trattamento stesso, il titolare mette in atto adeguate
misure e procedure tecniche e organizzative tali da assicurare
la conformità al presente regolamento e assicuri la tutela dei
diritti dell’interessato
www.datasecurity.it
108 Information Security & Privacy
Il titolare che adotta misure minime di sicurezza
avvalendosi di soggetti esterni alla propria struttura,
riceve dall’installatore una descrizione scritta
dell’intervento effettuato che ne attesta la conformità
alle disposizioni del presente disciplinare tecnico
La situazione attuale
www.datasecurity.it
109 Information Security & Privacy
Privacy by design
Progettazione
Capitolato
Software selection
Qualità - Processi
Risk Assessment
Qualità – Audit e rilevazione
non conformità
www.datasecurity.it
110 Information Security & Privacy
Esempi
Sistema di videosorveglianza e
rilevazione targhe
Sistema di gestione della
refertazione clinica
www.datasecurity.it
111 Information Security & Privacy
Competenza territoriale
Trasparenza
Facilitazione dell’esercizio dei diritti dell’interessato
Diritto all’oblio
Portabilità dei dati
Accountability
Obbligo della documentazione
Privacy by design
Privacy by default
Privacy by default
www.datasecurity.it
112 Information Security & Privacy
Art. 23: Il titolare del trattamento mette in atto meccanismi per
garantire che siano trattati, di default, solo i dati personali
necessari per ciascuna finalità specifica del trattamento e che,
in particolare, la quantità di dati e la durata della loro
conservazione non vadano oltre il minimo necessario per le
finalità perseguite. In particolare, detti meccanismi
garantiscono che, di default, non siano resi accessibili dati
personali a un numero indefinito di persone
Privacy (“Protection”) by default
www.datasecurity.it
113 Information Security & Privacy
Risk Assessment, Qualità e Misure di Sicurezza
Privacy Impact Assessment
Compiti del titolare
Il Responsabile della protezione dei dati
Sanzioni
Obbligo della documentazione
www.datasecurity.it
114 Information Security & Privacy
Art. 30 c. 1: Tenuto conto dell’evoluzione tecnica e dei costi di
attuazione, il responsabile e il titolare mettono in atto misure
tecniche e organizzative adeguate per garantire un livello di
sicurezza appropriato, in relazione ai rischi che il trattamento
comporta e alla natura dei dati personali da proteggere
Art. 30 c. 2: Previa valutazione dei rischi, il titolare del trattamento
prende le misure di cui al paragrafo 1 per proteggere i dati personali
dalla distruzione accidentale o illegale o dalla perdita accidentale e
per impedire qualsiasi forma illegittima di trattamento, in particolare
la comunicazione, la divulgazione o l’accesso non autorizzato o la
modifica dei dati personali
Risk Assessment, Qualità e Misure di Sicurezza
www.datasecurity.it
115 Information Security & Privacy
Un nuovo modello di gestione della sicurezza
Risk
AssessmentMisure di sicurezza
assicurazione periodica efficacia a cura del
titolare (Art. 22 c. 3). Verifiche periodiche da
parte di revisori interni od esterni
ISO/IEC 27001:2013
www.datasecurity.it
116 Information Security & Privacy
Un nuovo modello di gestione della sicurezza
Risk
AssessmentMisure di sicurezza
Regolamento per la protezione dei dati
Sistema completo per la gestione della
sicurezza nella tecnologia dell’informazione
secondo quanto previsto dagli standard
ISO/IEC 27001:2013 coerente con la norma
iso 9001
www.datasecurity.it
117 Information Security & Privacy
Un nuovo modello di gestione della sicurezza
Risk
AssessmentMisure di sicurezza
L’organizzazione potrà proteggersi dai
rischi connessi alla commissione di reati ,
con riferimento alla responsabilità
amministrativa , relativamente a delitti
informatici e trattamento illecito di dati ai
sensi dell’art. 24 bis del D.Lgs. 231/2001
www.datasecurity.it
118 Information Security & Privacy
La certificazione
Chi garantisce/certifica il livello di sicurezza e di protezione
dei dati ?
Art. 37: è esplicitamente prevista l’istituzione di meccanismi di
certificazione del livello di sicurezza e di protezione dei dati
personali effettivamente messo in atto, con marchi e sigilli che
consentano agli interessati di valutare rapidamente il livello di
protezione dei dati garantito dal titolare.
Saranno successivamente precisati i criteri e i requisiti
concernenti i meccanismi di certificazione, compresi i
meccanismi di rilascio e ritiro
ISO/IEC 27001:2013
www.datasecurity.it
119 Information Security & Privacy
Risk Assessment, Qualità e Misure di Sicurezza
Privacy Impact Assessment
Compiti del titolare
Il Responsabile della protezione dei dati
Sanzioni
Obbligo della documentazione
www.datasecurity.it
120 Information Security & Privacy
Quando il trattamento, per la sua natura, il
suo oggetto, o le sue finalità, presenta rischi
specifici per i diritti e le libertà degli
interessati, il titolare del trattamento effettua
una valutazione d’impatto del trattamento
previsto sulla protezione dei dati personali
Presentano rischi specifici ai sensi del punto
precedente i seguenti trattamenti:
Art. 33 – Privacy impact assessment
www.datasecurity.it
121 Information Security & Privacy
La valutazione sistematica e globale di aspetti della personalità
dell’interessato o volta ad analizzarne o prevederne in particolare
la situazione economica, l’ubicazione, lo stato di salute, le
preferenze personali, l’affidabilità o il comportamento, basata su
un trattamento automatizzato e da cui discendo misure che hanno
effetti giuridici o significativamente incidono sull’interessato
Il trattamento di informazioni concernenti la vita sessuale, lo stato
di salute, la razza e l’origine etnica oppure destinato alla
prestazione di servizi sanitari o a ricerche epidemiologiche o
indagini su malattie mentali o infettive
Art. 33 – Privacy Impact Assessment
www.datasecurity.it
122 Information Security & Privacy
La sorveglianza di zone accessibili al pubblico, in particolare se
effettuata mediante dispositivi ottico-elettronici
(videosorveglianza) su larga scala;
Il trattamento di informazioni concernenti la vita sessuale, lo stato
di salute, la razza e l’origine etnica oppure destinato alla
prestazione di servizi sanitari o a ricerche epidemiologiche o
indagini su malattie mentali o infettive
Il trattamento di dati personali in archivi su larga scala riguardanti
minori, dati genetici o dati biometrici
Qualunque altro trattamento che richiede la consultazione
dell’autorità di controllo ai sensi dell’art. 34
Art. 33 – Privacy Impact Assessment
www.datasecurity.it
123 Information Security & Privacy
Privacy Impact Assessment
La valutazione contiene almeno:
Una descrizione generale del trattamento previsto
Una valutazione dei rischi per i diritti e le libertà degli
interessati
Le misure previste per affrontare i rischi
Le garanzie, le misure di sicurezza e i meccanismi per
garantire la protezione dei dati personali e dimostrare la
conformità del presente Regolamento, tenuto conto dei diritti
e dei legittimi interessi degli interessati e delle altre persone
in questione
La valutazione d’impatto deve essere trasmessa all’autorità di
controllo
www.datasecurity.it
124 Information Security & Privacy
Risk Assessment, Qualità e Misure di Sicurezza
Privacy Impact Assessment
Compiti del titolare
Il Responsabile della protezione dei dati
Sanzioni
Compiti del titolare
www.datasecurity.it
125 Information Security & Privacy
Compiti del titolare del trattamento
Criticità attuale: la normativa attuale non specifica minimamente i
compiti del titolare del trattamento
1. Il titolare del trattamento adotta politiche e attua misure adeguate per
garantire di essere in grado di dimostrare che il trattamento dei dati
personali effettuato è conforme al regolamento.
2. Le misure di cui al punto precedente comprendono:
- la conservazione della documentazione di cui all’articolo 28
- l’attuazione delle misure di sicurezza dei dati di cui all’articolo 30
- l’esecuzione della valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 33
- la designazione di un responsabile della protezione dei dati (Privacy Officer)
www.datasecurity.it
126 Information Security & Privacy
Compiti del titolare del trattamento
3. Il Titolare del trattamento mette in atto i meccanismi per assicurare la
verifica dell’efficacia delle misure di cui ai punti precedenti. La verifica
può essere effettuata da revisori interni o esterni indipendenti
4. Il titolare del trattamento si assicura che il responsabile della
protezione dei dati sia prontamente e adeguatamente coinvolto in tutte le
questioni riguardanti le protezione dei dati personali
5. Il titolare si assicura che il responsabile della protezione dei dati
adempia alle funzioni in piena indipendenza e non riceva alcuna
istruzione o condizionamento per quanto riguarda il loro esercizio
www.datasecurity.it
127 Information Security & Privacy
Criticità
Criticità
Criticità attuale N. 1: non viene effettuato nessun controllo
Criticità attuale N. 2: chi (raramente) controlla non possiede le competenze per effettuare un controllo efficace
www.datasecurity.it
128 Information Security & Privacy
Risk Assessment, Qualità e Misure di Sicurezza
Privacy Impact Assessment
Compiti del titolare
Il Responsabile della protezione dei dati
Sanzioni
Il Responsabile della protezione dei dati
www.datasecurity.it
129 Information Security & Privacy
Il Responsabile della protezione dei dati (“Privacy Officer”)
E’ un soggetto che deve possedere adeguata esperienza, conoscenze
della problematica e capacità di effettuare audit approfonditi
E’ un soggetto che agisce in totale indipendenza ed autonomia, che si
interfaccia direttamente con i vertici aziendali, per un periodo minimo
di 4 anni, con mandato rinnovabile
E’ per certi versi l’equivalente dell’Organismo di vigilanza previsto dal
D.Lgs. 231/2001
Può essere un soggetto interno alla struttura, oppure un soggetto
esterno assunto in base ad un contratto di servizi
www.datasecurity.it
130 Information Security & Privacy
Il Responsabile della protezione dei dati (“Privacy Officer”)
COMPITI
Informare e consigliare il titolare o il responsabile in merito agli
obblighi del Regolamento e conservare la documentazione relativa a
tale attività ed alle risposte ricevute
Sorvegliare e supervisionare l’attuazione e l’applicazione delle policy
(atti di nomina, mansionari, regolamenti) . Condurre verifiche e audit
periodici
Controllare l’attuazione del regolamento con particolare riguardo alla
privacy by design, alla protezione di default, alla sicurezza dei dati,
l’informativa all’interessato e le richieste degli interessati : Effettuare
audit e verifiche periodiche e rilevare e gestire le non conformità
www.datasecurity.it
131 Information Security & Privacy
Il Responsabile della protezione dei dati (“Privacy Officer”)
COMPITI
Conservare la documentazione di cui all’art. 28
Controllare che le violazioni ai dati personali siano documentate,
notificate e comunicate ai sensi degli art. 31 e 32
Supervisionare il processo di valutazione d’impatto
Controllare che sia dato seguito alle richieste dell’autorità di controllo
Fungere da punto di contatto per l’autorità di controllo per questioni
connesse al trattamento e, se del caso, consultare l’autorità di
controllo di propria iniziativa
www.datasecurity.it
132 Information Security & Privacy
Risk Assessment, Qualità e Misure di Sicurezza
Privacy Impact Assessment
Compiti del titolare
Compiti del Responsabile della protezione dei dati
Sanzioni
Sanzioni
www.datasecurity.it
133 Information Security & Privacy
La sanzione deve essere efficace, proporzionata e dissuasiva
L’ammontare è determinato tenuto conto:
della natura
della gravità
della durata della violazione
del carattere doloso o colposo dell’illecito
del grado di responsabilità della persona fisica o giuridica
delle precedenti violazioni commesse
delle misure e procedure tecniche ed organizzative messe in atto dell’art. 23 (Privacy by design e Privacy by default)
del grado di cooperazione con l’autorità di controllo
Sanzioni (Art. 79)
www.datasecurity.it
134 Information Security & Privacy
Sanzione amministrativa pecuniaria fino a
250.000 Euro o, per le imprese, fino allo 0,5%
del fatturato annuo
Sanzione amministrativa pecuniaria fino a
500.000 Euro o, per le imprese, fino allo 1%
del fatturato annuo
Sanzione amministrativa pecuniaria fino a
1.000.000 Euro o, per le imprese, fino al 2%
del fatturato annuo
Sanzioni (Art. 79)
www.datasecurity.it
135 Information Security & Privacy
Sanzione amministrativa pecuniaria fino a 250.000
Euro o, per le imprese, fino allo 0,5% del fatturato
annuo
Sanzioni (Art. 79)
Non predispone i meccanismi per consentire all’interessato di presentare
richieste o non risponde all’interessato prontamente o nella forma dovuta, in
violazione dell’art. 12, paragrafi 1 e 2
Fa pagare un contributo spese per le informazioni o le risposte alle richieste
dell’interessato, in violazione dell’art. 12, paragrafo 4
www.datasecurity.it
136 Information Security & Privacy
Sanzione amministrativa pecuniaria fino a 500.000
Euro o, per le imprese, fino allo 1% del fatturato
annuo
Sanzioni (Art. 79)
Non fornisce le informazioni, fornisce informazioni incomplete o non fornisce le
informazioni in modo sufficientemente trasparente all’interessato, in violazione
dell’art. 11, dell’art. 12, par. 3 e dell’art. 14
Non dà l’accesso all’interessato o non rettifica i dati personali, in violazione degli
articoli 15 e 16, oppure non comunica al destinatario le informazioni pertinenti, in
violazione dell’art. 13
Non rispetta il diritto all’oblio o alla cancellazione, omette di predisporre
meccanismi che garantiscono il rispetto dei termini, o non prende tutte le misure
necessarie per informare i terzi della richiesta dell’interessato do cancellare tutti i
link verso i dati personali, copiare tali dati o riprodurli, in violazione dell’art. 17
www.datasecurity.it
137 Information Security & Privacy
Sanzione amministrativa pecuniaria fino a 500.000
Euro o, per le imprese, fino allo 1% del fatturato
annuo
Sanzioni (Art. 79)
Non fornisce copia dei dati personali in formato elettronico oppure impedisce
all’interessato di trasmettere i dati personali a un’altra applicazione, in violazione
dell’art. 18
Omette di determinare o non determina in modo sufficiente le rispettive
responsabilità dei corresponsabili del trattamento, in violazione dell’art. 24
Omette di conservare o non conserva in modo sufficiente la documentazione di cui
all’art. 28, all’art. 31, par. 4, e all’art. 44, par. 3
www.datasecurity.it
138 Information Security & Privacy
Sanzione amministrativa pecuniaria fino a 1.000.000
Euro o, per le imprese, fino allo 2% del fatturato
annuo
Sanzioni (Art. 79)
Tratta dati personali senza una base giuridica o una base giuridica insufficiente a
tal fine o non rispetta le condizioni relative al consenso, in violazione degli articoli
6, 7 e 8
Tratta categorie particolari di dati, in violazione degli art. 9 e 81
Non rispetta il diritto all’opposizione o l’obbligo di cui all’art. 19
Non rispetta le misure basate sulla profilazione di cui all’art. 20
Non adotta politiche interne o non attua misure adeguate per garantire di
dimostrare la conformità del trattamento, in violazione degli art. 22, 23 e 30
Non designa un rappresentante, in violazione dell’art. 25
Omette di allertare o notificare all’autorità di controllo o all’interessato una
violazione di dati personali, oppure non la notifica tempestivamente o
integralmente, in violazione degli art. 31 e 34
www.datasecurity.it
139 Information Security & Privacy
Sanzione amministrativa pecuniaria fino a 1.000.000
Euro o, per le imprese, fino allo 2% del fatturato
annuo
Sanzioni (Art. 79)
Non effettua una valutazione d’impatto sulla protezione dei dati o tratta dati
personali senza l’autorizzazione preventiva o la consultazione preventiva
dell’autorità di controllo, in violazione degli art. 33 e 34
Non designa un responsabile della protezione dei dati o non garantisce le
condizioni per l’adempimento del responsabile della protezione dei dati, in
violazione degli art. 35, 36 e 37
Fa un uso illecito di un sigillo o marchio sulla protezione dei dati di cui all’art.
39
Non si conforma all’obbligo di prestare assistenza, rispondere o fornire
informazioni utili o l’accesso ai locali all’autorità di controllo
Non si conforma alle norme di salvaguardia del segreto professionale di cui
all’art. 48
www.datasecurity.it
140 Information Security & Privacy
Conclusioni, impressioni, prime riflessioni, consigli
“Buona legge”, che fornirà strumenti molto efficaci all’interessato per
conoscere, controllare e intervenire sul destino dei propri dati
Ristabilirà un clima di fiducia verso aziende e istituzioni, facilitando gli
scambi, gli investimenti e l’economia digitale
Modificherà profondamente l’attuale modo di operare, obbligando a
passare da un approccio “compilativo” ad un approccio basato sulla
responsabilità e sulla verifica dell’efficacia
www.datasecurity.it
141 Information Security & Privacy
Conclusioni, impressioni, prime riflessioni, consigli
Fondamentale l’introduzione del Risk Assessment , del Privacy Impact
Assessment e della Protection by design
Importante l’introduzione di meccanismi di trasparenza, come
l’obbligo di notifica della violazione o la comunicazione agli
interessati
Fondamentale l’introduzione del Responsabile della protezione dei
dati come:
soggetto dotato di adeguate competenze e conoscenze
punto/meccanismo di controllo/verifica periodica competente ed
indipendente
www.datasecurity.it
142 Information Security & Privacy
Conclusioni, impressioni, prime riflessioni, consigli
Conclusioni, impressioni, prime riflessioni, consigli
Vivere il Regolamento non come una serie di “adempimenti”,
ma come una serie di strumenti e di “tutele” a vantaggio di
chi tratta i dati
Non solo privacy, ma anche sicurezza
Tutela non solo dei dati personali, ma anche dei dati (es.
progetti, brevetti, clienti, preventivi) e quindi del patrimonio
aziendale
Tutela dell’immagine e della credibilità istituzionale ed
aziendale
www.datasecurity.it
143 Information Security & Privacy
www.datasecurity.it
Informazioni di contatto:
dott. Romano Favero
direttore DataSecurity
Piazza del Cristo 12 – 33170 Pordenone
Tel. 0434 1851428