Estratto della presentazione del seminario tenuto dall'avv. Maggipinto (Studio Legale AMLAW) a SMAU Milano 2017. Keywords: cybersecurity; sicurezza; privacy; gdpr; data breach.

1. +
L’industria nell'occhio del ciclone
(digitale), tra attacchi cyber
ed esigenze di sicurezza
in ottica GDPR [ESTRATTO]
Avv. Andrea Maggipinto (www.maggipinto.eu)
Ing. Igor Serraino (www.serraino.it)

2. Agenda
 Scenario (in evoluzione)
 Data Breach e sicurezza in azienda
 Tecniche di logging
 Ransomware

3. Cyber attacks
Fonte:
Check Point
Mid-Year Report 2017

4. Live Cyber Attack Threat Map
https://threatmap.checkpoint.com/ThreatPortal/livemap.html

5. Fattore umano
Anello debole
Serve:
 Informazione (cultura)
 Formazione (competenze)
Fonte: IBM

6. The Global Risks Report 2017 (12th ed.)
The Report concludes by assessing the risks associated
with how technology is reshaping physical
infrastructure: greater interdependence among different
infrastructure networks is increasing the scope for
systemic failures – whether from cyberattacks, software
glitches, natural disasters or other causes – to cascade
across networks and affect society in unanticipated ways.
Rising «cyber dependency»

7. GDPR: cos’è
REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e del
Consiglio del 27 aprile 2016 relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonché alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento
generale sulla protezione dei dati)
➢ In vigore dal: 24 maggio 2016
➢ Piena applicazione dal: 25 maggio 2018
➢ Sistematica: 173 considerando, 99 articoli, XI capi, importanti
abrogazioni (dir.95/46/CE)
Tips: http://www.garanteprivacy.it/regolamentoue

8. GDPR: key points
 «Diritto all’oblio» (art. 17)
 «Diritto alla portabilità dei dati» (art. 20)
 «Accountability» (Responsabilizzazione: art. 24)
 «Privacy by default» e «Privacy by design» (Protezione dei dati fin dalla
progettazione e protezione per impostazione predefinita: art. 25)
 «Registri delle attività» (art. 30)
 «Data Breach» (Notifica di violazione dati personali: artt. 33-34)
 «DPIA» e «Risk-based approach» (Valutazione d’impatto sulla protezione
dei dati: art. 35)
 «DPO» (Designazione del Responsabile della Protezione Dati: art. 37)

9. «Accountability»
«Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle
finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per
i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in
atto misure tecniche e organizzative adeguate per garantire, ed essere in
grado di dimostrare, che il trattamento è effettuato conformemente al
presente regolamento. Dette misure sono riesaminate e aggiornate qualora
necessario.» [art. 24, c.1]

10. «Gestione» del data breach
Nella Direttiva 95/46/EC non vi era alcun obbligo di notifica per i Titolari,
ma solo per fornitori di servizio di comunicazione elettronica (dir.
2002/58/EC, reg. 611/2013, art. 32-bis D.Lgs. 196/03, Opinion n. 3/2014
art. 29 WP)
Dal 25 Maggio 2018 obbligo generalizzato per tutti
 GDPR, art. 4, c. 1, n. 12; artt. 33-34; considerando nn. 85, 86, 87.
 Guidelines on Personal Data Breach notification under Regulation
2016/679, wp250 (art. 29 WP)

11. Data Breach = Violazione dei dati
Art. 4: «violazione dei dati personali»: la violazione di sicurezza che
comporta accidentalmente o in modo illecito la distruzione, la perdita, la
modifica, la divulgazione non autorizzata o l’accesso ai dati personali
trasmessi, conservati o comunque trattati
Security Incident
event that may indicate that an
organization's systems or data
have been compromised or
that measures put in place to
protect them have failed.
Personal
Data
Breach
Violazione Know
How aziendale e
informazioni
riservate

12. Tipologie di Data Breach
❖ Confidentiality breach (accesso, divulgazione)
❖ Integrity breach (alterazione)
❖ Availability breach (perdita, distruzione)

13. Non «adeguata sicurezza»
Non rispettare la procedura di notifica di Data Breach può essere visto
come mancanza di «adeguata sicurezza» nel trattamento dei dati
Violazione della normativa anche ex art. 32 (non solo ex art. 33).
Sanzioni (art. 83, c. 4)
La capacità di individuare, affrontare e riportare una violazione in
tempi brevi, e comunque adeguati, è un elemento essenziale per la
compliance dell’azienda e fa parte integrante delle «misure
adeguate» previste dall’art. 32

14. Alcuni esempi
❖ Ransomware.
❖ Smartphone o altro dispositivo smarrito.
❖ Accesso a db e pubblicazione dei dati on line.
❖ Interruzione dei sistemi.

15. Cosa fare?
 Tutte le informazioni relative a questioni di sicurezza dovrebbero
essere indirizzate verso un referente che abbia il compito di
affrontare il problema e verificare i rischi (DPO?)
 Verificare subito se ci sono rischi per gli interessati, informando le
funzioni aziendali rilevanti
 Assessment, indagini e raccolta di informazioni
 Agire per contenere e porre rimedio alla violazione
 Se necessario, procedere con le notifiche all’Autorità e agli interessati

16. Come gestire i «sinistri»
I Titolari sono incentivati ad adottare un “Registro degli incidenti”, anche
se non rilevanti ai fini della notificazione (art. 33 c. 5).
Key points:
▪ Cause
▪ Descrizione della violazione
▪ Dati personali compromessi
▪ Effetti e conseguenze della violazione
▪ Rimedi e provvedimenti presi, ragioni per queste azioni
▪ Ragionamento del Titolare che ha escluso l’obbligo di notifica
▪ Motivi dell’eventuale ritardo nella notificazione
Adottare una procedura di notifica interna. Sarebbe utile dare prova di
aver informato tutti gli incaricati della procedura e dell’obbligo di
avvisare il titolare del trattamento in caso di incidente.

17. Grazie dell’attenzione.