際際滷

際際滷Share a Scribd company logo

Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)

Andrea Maggipinto [+1k]
Andrea Maggipinto [+1k]

Presentazione (estratto) del seminario tenuto dall'avv. Maggipinto (Studio Legale AMLAW) a SMAU Napoli 2017. Keywords: gdpr; cybersecurity; sicurezza; privacy; data breach.

1 of 22
Downloaded 29 times
+ Tutela e sicurezza digitale delle aziende ai tempi del GDPR (estratto) Avv. Andrea Maggipinto (www.maggipinto.eu) Ing. Igor Serraino (www.serraino.it)
Agenda GDPR, accountability e sicurezza dei dati 束Data Breach損: profili legali 束Data Breach損: profili tecnologici Ransomware e tecniche di logging
GDPR in breve REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonch辿 alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) In vigore dal: 24 maggio 2016 Piena applicazione dal: 25 maggio 2018 Sistematica: 173 considerando, 99 articoli, XI capi, importanti abrogazioni (dir.95/46/CE) Tips: http://www.garanteprivacy.it/regolamentoue
GDPR in breve 束Diritto alloblio損 (art. 17) 束Diritto alla portabilit dei dati損 (art. 20) 束Accountability損 (Responsabilizzazione: art. 24) 束Privacy by default損 e 束Privacy by design損 (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita: art. 25) 束Registri delle attivit損 (art. 30) 束Data Breach損 (Notifica di violazione dati personali: artt. 33-34) 束DPIA損 e 束Risk-based approach損 (Valutazione dimpatto sulla protezione dei dati: art. 35) 束DPO損 (Designazione del Responsabile della Protezione Dati: art. 37) 束One-stop-shop損 (Competenza dell'autorit di controllo capofila: art. 56)
Sicurezza dei dati Articolo 5 - Principi applicabili al trattamento di dati personali 束1. I dati personali sono: [] f) trattati in maniera da garantire unadeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (束integrit e riservatezza損)損.
Art. 32 GDPR 1. Tenendo conto dello stato dellarte e dei costi di attuazione, nonch辿 della natura, delloggetto, del contesto e delle finalit del trattamento, come anche del rischio di varia probabilit e gravit per i diritti e le libert delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. pseudonimizzazione e cifratura; capacit di assicurare su base permanente la riservatezza, lintegrit, la disponibilit e la resilienza dei sistemi e dei servizi di trattamento; capacit di ripristinare tempestivamente la disponibilit e laccesso dei dati personali in caso di incidente fisico o tecnico; procedura per testare, verificare e valutare regolarmente lefficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento Sicurezza dei dati
Data Breach = Violazione dei dati Art. 4: 束violazione dei dati personali損: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o laccesso ai dati personali trasmessi, conservati o comunque trattati Security Incident event that may indicate that an organization's systems or data have been compromised or that measures put in place to protect them have failed. Personal Data Breach Violazione Know How aziendale e informazioni riservate
Tipologie di Data Breach Confidentiality breach (accesso, divulgazione) Integrity breach (alterazione) Availability breach (perdita, distruzione)
Gestione del 束data breach損 Comunicazione agli interessati (art. 34) Notifica allAutorit di controllo (art. 33) 72 ore Incidente se vi 竪 rischio per i diritti e le libert se il rischio 竪 elevato
Notifica al Garante (art. 33) Articolo 33 - Notifica di una violazione dei dati personali allautorit di controllo 1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione allautorit di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne 竪 venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libert delle persone fisiche. Qualora la notifica allautorit di controllo non sia effettuata entro 72 ore, 竪 corredata dei motivi del ritardo.
Notifica al Garante (art. 33) 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonch辿 le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere pi湛 informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone ladozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Comunicazione agli interessati (art. 34) Articolo 34 - Comunicazione di una violazione dei dati personali allinteressato 1. Quando la violazione dei dati personali 竪 suscettibile di presentare un rischio elevato per i diritti e le libert delle persone fisiche, il titolare del trattamento comunica la violazione allinteressato senza ingiustificato ritardo. 2. La comunicazione allinteressato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui allarticolo 33, paragrafo 3, lettere b), c) e d).
Comunicazione agli interessati (art. 34) 3. Non 竪 richiesta la comunicazione allinteressato di cui al paragrafo 1 se 竪 soddisfatta una delle seguenti condizioni: a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libert degli interessati di cui al paragrafo 1; c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
Comunicazione agli interessati (art. 34) 4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato allinteressato la violazione dei dati personali, lautorit di controllo pu嘆 richiedere, dopo aver valutato la probabilit che la violazione dei dati personali presenti un rischio elevato, che vi provveda o pu嘆 decidere che una delle condizioni di cui al paragrafo 3 竪 soddisfatta.
Non 束adeguata sicurezza損 La capacit di individuare, affrontare e notificare una violazione in tempi brevi, e comunque adeguati, 竪 elemento essenziale per la compliance al GDPR. parte integrante di quelle 束misure adeguate損 previste dallart. 32. Non rispettare la procedura di notifica di Data Breach pu嘆 essere visto come una mancanza di 束adeguata sicurezza損 nel trattamento dei dati. Violazione della normativa anche ex art. 32, e non solo ex art. 33. Sanzioni (art. 83, c. 4).
Accountability e gestione dei 束sinistri損 I titolari sono tenuti ad adottare un Registro degli incidenti anche se non rilevanti ai fini della notificazione (art. 33 c. 5). Key points: cause descrizione della violazione dati personali compromessi effetti e conseguenze della violazione rimedi e provvedimenti presi, ragioni per queste azioni ragionamento del Titolare che ha escluso lobbligo di notifica motivi delleventuale ritardo nella notificazione Adozione di una procedura interna di allerta (WP29). opportuno fornire la prova di aver istruito adeguamente gli incaricati.
Procedura di notifica di Data Breach * Attuale modello di notifica per i fornitori di servizi di comunicazione elettronica
Procedura di notifica di Data Breach
Procedura di notifica di Data Breach
Procedura di notifica di Data Breach
Procedura di notifica di Data Breach
Grazie dellattenzione. Avv. Andrea Maggipinto www.maggipinto.eu avvocato@maggipinto.eu

More Related Content

Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)

  • 1. + Tutela e sicurezza digitale delle aziende ai tempi del GDPR (estratto) Avv. Andrea Maggipinto (www.maggipinto.eu) Ing. Igor Serraino (www.serraino.it)
  • 2. Agenda GDPR, accountability e sicurezza dei dati 束Data Breach損: profili legali 束Data Breach損: profili tecnologici Ransomware e tecniche di logging
  • 3. GDPR in breve REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonch辿 alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) In vigore dal: 24 maggio 2016 Piena applicazione dal: 25 maggio 2018 Sistematica: 173 considerando, 99 articoli, XI capi, importanti abrogazioni (dir.95/46/CE) Tips: http://www.garanteprivacy.it/regolamentoue
  • 4. GDPR in breve 束Diritto alloblio損 (art. 17) 束Diritto alla portabilit dei dati損 (art. 20) 束Accountability損 (Responsabilizzazione: art. 24) 束Privacy by default損 e 束Privacy by design損 (Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita: art. 25) 束Registri delle attivit損 (art. 30) 束Data Breach損 (Notifica di violazione dati personali: artt. 33-34) 束DPIA損 e 束Risk-based approach損 (Valutazione dimpatto sulla protezione dei dati: art. 35) 束DPO損 (Designazione del Responsabile della Protezione Dati: art. 37) 束One-stop-shop損 (Competenza dell'autorit di controllo capofila: art. 56)
  • 5. Sicurezza dei dati Articolo 5 - Principi applicabili al trattamento di dati personali 束1. I dati personali sono: [] f) trattati in maniera da garantire unadeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali (束integrit e riservatezza損)損.
  • 6. Art. 32 GDPR 1. Tenendo conto dello stato dellarte e dei costi di attuazione, nonch辿 della natura, delloggetto, del contesto e delle finalit del trattamento, come anche del rischio di varia probabilit e gravit per i diritti e le libert delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. pseudonimizzazione e cifratura; capacit di assicurare su base permanente la riservatezza, lintegrit, la disponibilit e la resilienza dei sistemi e dei servizi di trattamento; capacit di ripristinare tempestivamente la disponibilit e laccesso dei dati personali in caso di incidente fisico o tecnico; procedura per testare, verificare e valutare regolarmente lefficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento Sicurezza dei dati
  • 7. Data Breach = Violazione dei dati Art. 4: 束violazione dei dati personali損: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o laccesso ai dati personali trasmessi, conservati o comunque trattati Security Incident event that may indicate that an organization's systems or data have been compromised or that measures put in place to protect them have failed. Personal Data Breach Violazione Know How aziendale e informazioni riservate
  • 8. Tipologie di Data Breach Confidentiality breach (accesso, divulgazione) Integrity breach (alterazione) Availability breach (perdita, distruzione)
  • 9. Gestione del 束data breach損 Comunicazione agli interessati (art. 34) Notifica allAutorit di controllo (art. 33) 72 ore Incidente se vi 竪 rischio per i diritti e le libert se il rischio 竪 elevato
  • 10. Notifica al Garante (art. 33) Articolo 33 - Notifica di una violazione dei dati personali allautorit di controllo 1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione allautorit di controllo senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne 竪 venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libert delle persone fisiche. Qualora la notifica allautorit di controllo non sia effettuata entro 72 ore, 竪 corredata dei motivi del ritardo.
  • 11. Notifica al Garante (art. 33) 2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. 3. La notifica di cui al paragrafo 1 deve almeno: a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonch辿 le categorie e il numero approssimativo di registrazioni dei dati personali in questione; b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere pi湛 informazioni; c) descrivere le probabili conseguenze della violazione dei dati personali; d) descrivere le misure adottate o di cui si propone ladozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
  • 12. Comunicazione agli interessati (art. 34) Articolo 34 - Comunicazione di una violazione dei dati personali allinteressato 1. Quando la violazione dei dati personali 竪 suscettibile di presentare un rischio elevato per i diritti e le libert delle persone fisiche, il titolare del trattamento comunica la violazione allinteressato senza ingiustificato ritardo. 2. La comunicazione allinteressato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui allarticolo 33, paragrafo 3, lettere b), c) e d).
  • 13. Comunicazione agli interessati (art. 34) 3. Non 竪 richiesta la comunicazione allinteressato di cui al paragrafo 1 se 竪 soddisfatta una delle seguenti condizioni: a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libert degli interessati di cui al paragrafo 1; c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
  • 14. Comunicazione agli interessati (art. 34) 4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato allinteressato la violazione dei dati personali, lautorit di controllo pu嘆 richiedere, dopo aver valutato la probabilit che la violazione dei dati personali presenti un rischio elevato, che vi provveda o pu嘆 decidere che una delle condizioni di cui al paragrafo 3 竪 soddisfatta.
  • 15. Non 束adeguata sicurezza損 La capacit di individuare, affrontare e notificare una violazione in tempi brevi, e comunque adeguati, 竪 elemento essenziale per la compliance al GDPR. parte integrante di quelle 束misure adeguate損 previste dallart. 32. Non rispettare la procedura di notifica di Data Breach pu嘆 essere visto come una mancanza di 束adeguata sicurezza損 nel trattamento dei dati. Violazione della normativa anche ex art. 32, e non solo ex art. 33. Sanzioni (art. 83, c. 4).
  • 16. Accountability e gestione dei 束sinistri損 I titolari sono tenuti ad adottare un Registro degli incidenti anche se non rilevanti ai fini della notificazione (art. 33 c. 5). Key points: cause descrizione della violazione dati personali compromessi effetti e conseguenze della violazione rimedi e provvedimenti presi, ragioni per queste azioni ragionamento del Titolare che ha escluso lobbligo di notifica motivi delleventuale ritardo nella notificazione Adozione di una procedura interna di allerta (WP29). opportuno fornire la prova di aver istruito adeguamente gli incaricati.
  • 17. Procedura di notifica di Data Breach * Attuale modello di notifica per i fornitori di servizi di comunicazione elettronica
  • 18. Procedura di notifica di Data Breach
  • 19. Procedura di notifica di Data Breach
  • 20. Procedura di notifica di Data Breach
  • 21. Procedura di notifica di Data Breach
  • 22. Grazie dellattenzione. Avv. Andrea Maggipinto www.maggipinto.eu avvocato@maggipinto.eu