�ݺ�ߣ

Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016 - Lino Fornaro

ICT Security e Risk assessment
secondo il Regolamento UE 679/2016
Lecce, 3 Marzo 2017
Relatore: Lino Fornaro, Senior Security Consultant, Evolumia Srl

Senior Security Consultant in EVOLUMIA SRL
Lead Auditor ISO/IEC 27001:13
 OSSTMM PROFESSIONAL SECURITY TESTER - OPST
 OSSTMM PROFESSIONAL SECURITY ANALYST - OPSA
ISECOM Certified Trainer
Certificato ICT Security Manager – registro AICQ Sicev
Docente Master sulla Sicurezza (ICS) presso TILS - L’Aquila
Relatore in conferenze di sensibilizzazione sul tema ICT Security
Esperto Normativa Italiana Privacy (DLgs 196/03)
Esperto normative europee Cybersecurity
Membro Comitato Direttivo CLUSIT
Membro Comitato Tecnico Scientifico AICQ Sicev “Uni 11506
Certificazioni informatiche”
Membro sottocommissione SC27 di UNINFO
Socio Fondatore, membro Advisory Board di ANORC
Membro Coordinamento ANORC PRIVACY
$whois Lino Fornaro

Regolamento Europeo: Principali novità
Rafforzata la trasparenza dei trattamenti (Informazioni più chiare e
complete)
Rafforzato il controllo sui propri dati (nuove modalità di gestione
del consenso e diritto all’oblio)
Limiti alla decisioni che hanno effetti giuridici basate su trattamenti
automatizzati
Diritto alla portabilità dei dati nel mercato digitale
Più responsabilità per le imprese
Unico insieme di norme in tutti gli stati dell’UE
Semplificazioni per i soggetti che offrono maggiori garanzie

Regolamento Europeo: nuovo approccio alla
protezione del dato
Adeguamento delle misure di sicurezza al nuovo contesto:
nuove tecnologie ed evoluzione del cyber crime
Enfatizzati i principi della vecchia direttiva EU
Richiesto un approccio sistemico alla sicurezza e alla
protezione del dato
Richiamo alla RISK ANALISYS diffuso (misure di sicurezza,
PIA)
Richiesta l’efficacia e l’adozione preventiva
Richiesta la rilevazione e la denuncia delle violazioni alla
sicurezza (Data Breach)
Ricorso alla Certificazione come strumento per la compliance

D.Lgs 196/03: Principio di necessità nel trattamento
dei dati
Art. 3.
1. I sistemi informativi e i programmi informatici sono
configurati riducendo al minimo l'utilizzazione di dati personali
e di dati identificativi, in modo da escluderne il trattamento
quando le finalità perseguite nei singoli casi possono essere
realizzate mediante, rispettivamente, dati anonimi od
opportune modalità che permettano di identificare
l'interessato solo in caso di necessità.

Art.25 Protezione dei Dati sin dalla progettazione
(PRIVACY by Design)
Tenuto conto dello stato dell’arte e dei costi di attuazione,
nonché della natura, dell’ambito di applicazione, del contesto
e delle finalità del trattamento…
..come anche dei rischi aventi probabilità e gravità diverse
per i diritti e le libertà delle persone fisiche….
..sia al momento di determinare i mezzi del trattamento sia
all’atto del trattamento stesso
Il titolare del trattamento mette in atto misure techiche ed
organizzative adeguate, quali la pseudonimizzazione, volte
ad attuare in modo efficace i principi di protezione dei dati,
quali la minimizzazione, .......

Art.25 … e protezione per impostazione predefinita
(PRIVACY by Default)
Il titolare mette in atto misure tecniche e organizzative
adeguate per garantire che siano trattati, per impostazione
predefinita, solo i dati personali necessari per ogni specifica
finalità di trattamento, …..
... In particolare dette misure garantiscono che, per
impostazione predefinita, non siano resi accessibili dati
personali ad un numero indefinito di persone fisiche senza
l’intervento della persona fisica.
Un meccanismo di certificazione approvato ai sensi
dell’art.42 può essere utilizzato come elemento per
dimostrare la conformità ai requisiti......

Pseudonimizzazione ?
Il trattamento di dati personali in modo tale che i dati
personali non possano essere attribuiti a un interessato
specifico senza l’utilizzo di informazioni aggiuntive, a
condizione che tali informazioni aggiuntive siano conservate
separatamente e soggette a misure tecniche e organizzative
intese a garantire che tali dati personali non siano
attribuiti a una persona fisica identificata o
identificabile.
ATTENZIONE: DIVERSO DAL DATO ANONIMO

Art.32 Sicurezza del trattamento
Tenendo conto dello stato dell’arte e dei costi di attuazione,
nonché
• della natura
• dell’oggetto
• del contesto
• delle finalità del trattamento
come anche del rischio di varia probabilità e gravità per i diritti e
le libertà delle persone fisiche
Il titolare del trattamento e il responsabile del trattamento mettono
in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le
altre, se del caso:
RISKANALISYS

a) La pseudonimizazione e la cifratura dei dati personali;
(utile in caso di data breach)
b) La capacità di assicurare su base permanente la riservatezza,
l’integrità, la disponibilità e la resilienza dei sistemi e dei
servizi di trattamento;
(capacità di adattamento a condizione d’uso e resistenza a situazioni
avverse per garantire disponibilità dei servizi erogati)
a) La capacità di ripristinare tempestivamente la disponibilità e
l’accesso dei dati personali in caso di incidente fisico o tecnico;
(procedure di DR e incident response)
b) Una procedura per testare, verificare e valutare regolarmente
l’efficacia delle misure tecniche e organizzative al fine di
garantire la sicurezza del trattamento
(come per la iso 27001)
RISKANALISYS,DR,ISO

2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in
special modo dei rischi presentati dal trattamento che derivano in
particolare dalla distruzione, dalla perdita, dalla modifica, dalla
divulgazione non autorizzata o dall’accesso, in modo
accidentale o illegale, a dati personali trasmessi, conservati o
comunque trattati.
3. L’adesione ad un codice di condotta approvato di cui all’art.40 o
a un meccanismo di certificazione approvato di cui all’art.42
può essere utilizzata come elemento per dimostrare la conformità
ai requisiti di cui al paragrafo 1 del presente articolo
RISKANALISYS

Art.33 Notifica di una violazione dei dati personali
all’autorità di controllo
In caso di1. violazione dei dati personali, il titolare del
trattamento notifica la violazione all’autorità di controllo ….
senza ingiustificato ritardo ...entro 72 ore(*) dal momento in
cui è venuto a conoscenza, a meno che sia improbabile
che la violazione dei dati personali presenti un rischio
per i diritti e le libertà delle persone fisiche (**)
DATABREACH
(*) Misure tecniche
che individuino la
violazione e
notifichino il titolare
(**) ricorso alla
cifratura, a patto
che le chiavi
crittografiche siano
al sicuro (e non sui
sistemi violati)

La notifica d cui al paragrafo 1 deve almeno:
Descrivere laa) natura della violazione dei dati personali
compresi, ove possibile, le categorie e il numero
approssimativo di interessati in questione nonché le
categorie e il numero approssimativo di registrazioni di dati
personali in questione;
Comunicare il nome e i dati di contatto del responsabile dellab)
protezione dei dati o di altro punto di contatto presso cui
ottenere informazioni;
DATABREACH

La notifica d cui al paragrafo 1 deve almeno:
Descrivere lec) probabili conseguenze della violazione (*) dei
dati personali
Descrivere led) misure adottate o di cui si propone l’adozione da
parte del titolare per porre rimedio alla violazione dei dati
personali e anche, se del caso, per attenuare i possibili effetti
negativi (**)
DATABREACH
(*) la Risk Analisys
dovrebbe aver contemplato
e misurato questo rischio e
determinato le misure
preventive
(**) un piano di Risposta
agli incidenti e una
strategia di gestione della
crisi sono fortemente
consigliate

Art.34 Comunicazione di una violazione dei dati
personali all’interessato
1. Quando la violazione di dati personali è suscettibile di
presentare un rischio elevato per i diritti e le libertà
delle persona fisiche, il titolare del trattamento comunica la
violazione all’interessato senza ingiustificato ritardo
La comunicazione all2. ’interessato …. descrive con un
linguaggio semplice e chiaro la natura della violazione
dei dati personali e contiene almeno le informazioni e le
raccomandazioni di cui all’art.33, par.3 lettere b) c) e d).
DATABREACH

3. Non è richiesta la comunicazione all’interessato… se è
soddisfatta una delle seguenti condizioni:
a) Il titolare ha messo in atto le misure tecniche e
organizzative adeguate di protezione e tali misure erano
state applicate ai dati personali oggetto della violazione,
in particolare quelle destinate a rendere i dati personali
incomprensibili a chiunque non sia autorizzato ad accedervi,
quali la cifratura.
DATABREACH

b) Il titolare del trattamento ha successivamente adottato misure
atte a scongiurare il sopraggiungere di un rischio elevato per i
diritti e le libertà degli interessatindi cui al par.1
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal
caso, si procede invece a una comunicazione pubblica o a una
misura simile, tramite la quale gli interessati sono informati con
analoga efficacia.
DATABREACH
Una strategia di
comunicazione che tuteli
l’immagine e che preservi il
business aziendale è
necessaria

Danni fisici, materiali, morali
Perdita del controllo dei dati
Discriminazione
Furto o usurpazione d'identità
Decifratura non autorizzata della pseudonimizzazione
Pregiudizio alla reputazione
Perdita di riservatezza dei dati protetti da segreto professionale
Perdite finanziarie
Etc.
DATABREACH

Paragrafo 1
Quando un tipo di trattamento, allorché prevede in particolare l’uso
di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le
finalità del trattamento, può presentare un rischio elevato per i
diritti e le libertà delle persone fisiche, il titolare del
trattamento effettua, prima di procedere al trattamento, una
valutazione dell’impatto dei trattamenti previsti sulla
protezione dei dati personali. Una singola valutazione può
esaminare un insieme di trattamenti simili che presentano rischi
elevati analoghi.
Art.35 Valutazione d’impatto sulla protezione
dei dati (PIA)

La valutazione è richiesta in particolare nei seguenti casi:
• Una valutazione sistematica e globale di aspetti personali relativi a
persone fisiche, basata su un trattamento automatizzato, compresa la
profilazione….
• Il trattamento, su larga scala, di categorie particolari di dati personali,
di cui all’art.9 par.1, o di dati relativi a confanne penali e a reati di cui
all’art.10 ...
• La sorveglianza sistematica su larga scala di una zona accessibile al
pubblico
L’autorità redige e rende pubblico un elenco delle tipologie di
trattamenti soggetti alla valutazione d’impatto…
Art.35 Valutazione d’impatto sulla protezione dei dati

La valutazione d’impatto contiene almeno:
Una descrizione sistematica dei trattamenti previsti e delle finalità di•
trattamento, compreso, se del caso, l’interesse legittimo perseguito
dal titolare del trattamento;
Una valutazione della necessità e proporzionalità dei trattamenti in•
relazione alle finalità;
Una• valutazione dei rischi per i diritti e le libertà degli interessati
…
• Le misure previste per affrontare i rischi, includendo le garanzie, le
misure di sicurezza e i meccanismi per garantire la protezione
dei dati personali e dimostrare la conformità al presente
regolamento, tenuto conto dei diritti e degli interessi legittimi degli
interessati e delle altre persone in questione
Art.35 Valutazione d’impatto sulla protezione dei dati

La PIA è uno strumento per indirizzare i potenziali impatti sulla
privacy di un processo, un sistema informativo, un
programma, un modulo software, un device o qualunque altra
iniziativa che tratterà dati personali (PII – Personal Identifiable
Information) e , in accordo con gli stakeholders, per adottare le
azioni necessarie a trattare i rischi privacy.
E’ un processo che inizia nelle fasi embrionali di una iniziativa,
quando ci sono ancora opportunità di influenzare l’esito e
garantire la Privacy by Design
ì
Perché fare un PIA (quando non richiesto)

identificare gli• impatti, i rischi e le responsabilità sulla
privacy;
Fornire• input per la progettazione per la tutela della privacy
Esaminare i rischi privacy di un nuovo sistema informativo e•
valutarne gli impatti e le probabilità;
Gestire gli aggiornamenti successivi o l• ’aggiunta di nuove
funzionalità che potrebbero impattare sui dati personali che
sono trattati;
Condividere e mitigare i rischi privacy con gli• stakeholders, o
fornire evidenza di compliance

• Evitare costi inutili
• Scongiurare perdita di fiducia e reputazione
• Informare il responsabile delle strategie di comunicazione
• Soddisfare e superare i requisiti legali

Riservatezza info relative alla persona•
(Data e info privacy)
Riservatezza della persona•
(integrità fisica, biometria, perquisizioni, vaccinazioni, etc)
Privacy comportamenti personali•
(videosorveglianza, preferenze sessuali, politiche, “media”)
Riservatezza comunicazioni personali•
(intercettazioni, monitoraggi, mail, etc)
PIA: What means privacy

Identificazione degli impatti che il• “progetto” ha sulla
privacy;
Valutazione deli impatto dal punto di vista di tutti gli•
stakeholder (rif. Art 35 p 9);
Comprensione del livello di accettazione del progetto•
e delle sue caratteristiche/features
dall’organizzazione e dalle persone interessate (loro
rappresentanti);
PIA: OUTPUT

Identificazione delle alternative meno invasive per•
la privacy;
Chiarezza sulle esigenze aziendali che hanno•
effetti negativi sulla privacy e che non sono
evitabili (accettazione del rischio residuo)
Documentazione e pubblicazione dei• risultati
Necessità di una• “consultazione preventiva”
PIA: OUTPUT

La Responsabilità di condurre una PIA è
solitamente in capo ad un
Senior Executive Level
con lead su Risk Management, Audit e Compliance
Il regolamento Europeo richiede per tale compito
l’intervento del
Data Protection Officer
PIA: CHI la conduce

1. Il titolare del trattamento, prima di procedere al
trattamento, consulta l’autorità di controllo qualora la
valutazione d’impatto sulla protezione dei dati a norma
dell’art.35 indichi che il trattamento presenterebbe un
rischio elevato in assenza di misure adottate dal titolare
del trattamento per attenuare il rischio
Art.36 Consultazione Preventiva
In concreta attuazione del “principio di accountability”, tramite
l’esecuzione della Valutazione di Impatto, se il risultato non è
quello di un rischio elevato, si possono evitare gli obblighi
amministrativi di consultazione preventiva dell’autorità.

2. Se ritiene che il trattamento previsto di cui al par.1 violi il
presente regolamento, in particolare qualora il titolare del
trattamento non abbia identificato o attenuato
sufficientemente il rischio, l’autorità di controllo fornisce,
entro un termine di otto settimane dal ricevimento della
richiesta di consultazione, un parere scritto al titolare del
trattamento e può avvalersi dei poteri di cui all’art.58. Tale
periodo può essere prorogato di sei settimane, tenendo
conto della complessità del trattamento previsto. L’autorità
di controllo informa il titolare del trattamento …omississ...
entro un mese dal ricevimento della richiesta ...omississ...
In assenza di un riscontro nei tempi di cui al par.2 il titolare può
procedere al trattamento adottando tutte le misure previste per
attenuare il rischio, fatto salvo il potere dell’autorità di intervenire
anche in seguito, anche bloccando il trattamento ma senza poter
notificare al titolare una violazione dell’art.36

3. Al momento di consultare l’autorità di controllo ai sensi del
par.1, il titolare del trattamento comunica all’autorità di
controllo:
a) Se del caso, le rispettive responsabilità del titolare del
trattamento, dei contitolari del trattamento e dei responsabili
del trattamento, in particolare relativamente al trattamento
nell’ambito di un gruppo imprenditoriale;
b) Le finalità e i mezzi del trattamento previsto
c) Le misure e le garanzie previste per proteggere i diritti e le
libertà degli interessati a norma del presente regolamento;
d) Se del caso, i dati di contatto del titolare della protezione dei
dati;
e) La valutazione di impatto sulla protezione dei dati di cui
all’art.35;

ISO 29100 - PRIVACY FRAMEWORK
ISO 29134 -PRIVACY Impact Assessment
ISO 29151 - PRIVACY Code of Practice for PII
protection
STANDARD E NORME ISO
PRIVACYMANAGEMENT

• 1.Consent and choice
• 2.Purpose legitimacy and specification
• 3.Collection limitation
• 4.Data minimization
• 5.Use, retention and disclosure limitation
• 6.Accuracy and quality
• 7.Openness, transparency and notice
• 8.Individual participation and access
• 9.Accountability
10• .Information security
11• .Privacy compliance
ISO 29100 - Principi
PRIVACYPRINCIPI

Metodologia per condurre un Privacy Impact Assessment funzionale
a:
• identificare rischi relativi alla privacy e responsabilità collegate
• fornire input per la progettazione di sistemi ("privacy by design")
• riesaminare l'impatto sulla protezione delle PII di un sistema nuovo
oppure soggetto a modifiche significative
• allocare risorse per il contenimento di impatti sulla privacy
• fornire informazioni su ambiti in cui la protezione dei dati personali
è un tema chiave
• fornire evidenza di conformità dove questa è richiesta
• fornire evidenza ai PII principal delle misure di protezione
presenti sul trattamento delle loro PII
ISO 29134

GRAZIE per l’attenzione
Lino Fornaro
l.fornaro@evolumia.it
PARTNER

�ݺ�ߣ

Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016 - Lino Fornaro

More Related Content

Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2016 - Lino Fornaro