9. Programma
• 09.45 Industria 4.0: le opportunità per le
imprese
• 10.00 GDPR Privacy: il decreto attuativo del 19
settembre
• 11.00 GDPR Privacy: modalità di adeguamento
• 12.00 Domande e risposte
• 12.40 Estrazione premio cofanetto regalo Eataly
• 12.45 Pranzo
12. GDPR – Regolamento UE 2016/679
• Entrato in vigore il 24 maggio 2016
• Direttamente applicabile in tutti i Paesi Membri dal 25
Maggio 2018
• Abroga la direttiva 95/46/CE recepita in Italia dal D.Lgs.
196/2003
Qual è il destino del Codice della Privacy e dei
Provvedimenti del Garante della Privacy?
13. GDPR – DECRETO LEGISLATIVO 101/2018
• In Italia la materia era già regolata dal Codice in materia di
protezione dei dati personali - decreto legislativo n. 196 del
30 giugno 2003 - novellato dal decreto legislativo n. 101 del
10 agosto 2018 in vigore dal 19 settembre 2018
14. GDPR – Finalità
• Rispondere alle sfide in materia di protezione dei dati
personali poste da evoluzione tecnologica e dallo sviluppo
dell’economia digitale
• Assicurare la tutela dei diritti delle persone fisiche nei Paesi
Membri
• Realizzare la libera circolazione dei dati personali nell’ UE
15. GDPR – ambito di applicazione materiale
Trattamenti interamente o parzialmente automatizzati di dati
personali o trattamento non automatizzato di dati personali
contenuti in un archivio o destinati a figurarvi
Esclusioni:
• Trattamenti effettuati da persona fisica per l’esercizio di
attività a carattere esclusivamente personale o domestico
• Trattamenti effettuati dalle autorità competenti nel
perseguimento di reati
16. GDPR – ambito di applicazione territoriale
Trattamenti effettuati nell’ambito delle attività di uno
stabilimento da parte di un titolare o di un responsabile
stabilito nell’UE, indipendentemente dal fatto che il
trattamento sia effettuato nell’UE
Trattamenti di dati personali di interessati che si trovano nell’UE
effettuati da parte di un titolare o responsabile non stabilito
nell’UE se le attività riguardano:
• Offerta di beni o servizi a interessati che si trovano nell’UE
• Monitoraggio di comportamenti di interessati che abbiano
luogo nell’UE
17. I 3 pilastri del GDPR
1 - ACCOUNTABILITY
GDPR
3 – VALUTAZIONE DEL RISCHIO
2 – VALUTAZIONE D’IMPATTO
Necessità di aggiornare l’intero sistema aziendale di governo dei dati
18. ACCOUNTABILITY
• Il Regolamento stabilisce la responsabilizzazione
(accountability) del Titolare del trattamento
• Il Titolare ha l’obbligo di dimostrarela compliance alle
prescrizioni del Regolamento mediante l’adozione di misure
tecniche (per la sicurezza fisica e informatica dei dati) e
organizzative (politiche e procedure interne, formazione del
personale, verifiche o audit…) adeguate, nonché un apparato
documentale appropriato
• Adesione a codici di condotta o meccanismi di certificazione
19. ACCOUNTABILITY
DA FORMA
A SOSTANZA
• Attuazione principi protezione dei dati «by design» (dalla
progettazione) , «by default» (come impostazione predefinita)
e trasparenza
• Scelta e verifica conformità dei Responsabili
• Valutazioni di impatto sulla protezione dei dati
• Attenzione a condizioni di adeguatezza per il trasferimento dei
dati verso paesi terzi
20. Valutazione di impatto (DPIA)
Richiesta dal Regolamento quando un trattamento, in particolare se prevede l’utilizzo di
nuove tecnologie, può presentare un rischio elevato per i diritti e le libertà delle persone
fisiche, diventa strumento per garantire il rispetto del principio di accountability, poiché
anche non necessità di DPIA va giustificata per iscritto.
Linee Guida WP29, criteri di riferimento DPIA probabilmente necessaria
• Valutazioni della persona e profilazione
• Decisioni automatizzate con effetti giuridici significativi (es. esclusione benefici)
• Attività di monitoraggio sistematico (es. sorveglianza sistematica in area pubblica)
• Dati sensibili o di natura estremamente personale (opinioni politiche, condanne penali,
cartelle cliniche)
• Trattamento di dati su larga scala
• Combinazione o raffronto di insiemi di dati (es. dati trattati da titolari distinti)
• Dati relativi a interessati vulnerabili (minori, soggetti con patologie psichiatriche, pazienti)
• Utilizzi innovativi o applicazione di nuove soluzioni tecnologiche (es. riconoscimento del
volto)
• Quei trattamenti che impediscono agli interessati di esercitare un diritto (es. screening
clienti banca per accesso a finanziamento)
21. GDPR – cosa cambia
• Nuovi principi - accountability, trasparenza, privacy by design,
by default…
• Nuove figure – Data Protection Officer (DPO), Rappresentante
• Nuovi diritti – diritto di accesso ai dati e rettifica degli stessi,
limitazione o opposizione al trattamento, diritto all’oblio,
diritto alla portabilità dei dati e diritto al risarcimento
22. GDPR – DPO
Il Data Protection Officer ha il compito di analizzare, valutare e disciplinare
la gestione del trattamento. Punto di contatto per interessato e autorità di
controllo.
Requisiti: approfondita conoscenza della normativa e delle prassi in materia
di privacy, nonché delle norme e procedure che caratterizzano lo specifico
settore di riferimento.
Dipendente o risorsa esterna, riferisce direttamente al vertice gerarchico,
riceve risorse necessarie, no istruzioni per l’esecuzione dei compiti, no
conflitto di interesse.
La nomina è obbligatoria:
- Trattamento effettuato da autorità pubblica o organismo pubblico
- Trattamenti che richiedono il monitoraggio regolare e sistematico su
larga scala
- Trattamento su larga scala di categorie particolari di dati (sensibili,
genetici, biometrici o giudiziari)
23. GDPR – cosa cambia – qualche esempio
INFORMATIVA
• Coincisa, trasparente (conservazione dati, nuovi diritti per gli
interessati) e facilmente accessibile
• All’ottenimento dei dati personali e comunque al massimo
entro 1 mese, possibilmente in formato elettronico
• Contenuti: dati di contatto Titolare, DPO; finalità e base
giuridica del trattamento; legittimi interessi perseguiti;
eventuali destinatari dei dati personali; trasferimenti a un
paese terzo
24. GDPR – cosa cambia – qualche esempio
CONSENSO
• Libero
• Informato
• Esplicito
• Espresso mediante dichiarazione o azione inequivocabile
• Dimostrabile
• Chiaramente distinguibile
• Revocabile
• Non condizionabile
MINORI – offerta diretta di servizi della società dell’informazione
- 16 anni
25. GDPR – cosa cambia – qualche esempio
REGISTRI DEL TRATTAMENTO
Obbligatori per imprese o organizzazioni con più di 250
dipendenti, il Garante raccomanda a tutti i Titolari di dotarsene
LEGITTIMO INTERESSE
Base giuridica del trattamento dei dati, anche senza consenso,
purché bilanciati diritti titolare e interessato -> valutazione a
carico del Titolare
Esempi: marketing diretto, verifica dell’età, conservazione mail,
ripresa per fini sicurezza in casi grave pericolo
26. DECRETO LEGISLATIVO 101/2018
Le principali novità introdotte :
- Revisione del codice privacy – D.Lgs. 196/2003 –
Adeguamento ai principi del GDPR, in particolare:
• Trattamento dei dati particolari (particolari, giudiziari, genetici e
biometrici) – attualizzazione autorizzazioni generali e emanazione
provvedimenti specifici del Garante ogni 2 anni
• Trattamento dati sanitari – non basato su consenso
• Trattamento dati dipendenti, anche particolari, non basati su consenso
• Cv ricevuti spontaneamente – informativa al primo contatto utile e non
necessario il consenso al trattamento
• Disciplina dei codici di deontologia e buona condotta
• Rimodulazione sanzioni penali
27. DECRETO LEGISLATIVO 101/2018
Le principali novità introdotte :
- Revisione del codice privacy – D.Lgs. 196/2003 –
Adeguamento ai principi del GDPR, in particolare:
• Applicazione principio di Accountability:
notificazione al Garante sostituita da valutazione d’impatto
abolizione Allegato B
• Servizi web e social – consenso autonomo maggiori di 14 anni
• Possibilità di Reclamo al Garante o all’autorità giudiziaria
• Possibilità di introdurre misure di semplificazione per le PMI
28. DECRETO LEGISLATIVO 101/2018
Le principali novità introdotte :
- Revisione del codice privacy – D.Lgs. 196/2003 –
Adeguamento ai principi del GDPR, in particolare:
• Obbligo tenuta Registri del Trattamento per tutti
• Incarichi specifici a persone fisiche
• Provvedimenti del Garante ancora validi
• Per i primi 8 mesi l’autorità adotterà particolare prudenza e giudizio
nell’applicazione delle sanzioni amministrative
29. GDPR – Sanzioni
Fino a 10,000,000 € o fino al 2%fatturato mondiale annuo se sup
- Violazione obblighi del titolare o del responsabile del trattamento
Fino a 20,000,000 € o fino al 4%fatturato mondiale annuo se sup
- Violazione dei principi, comprese condizioni relative al consenso
- Violazione diritti degli interessati
- Trasferimento dati non a norma in un paese terzo
- Inosservanza di un ordine dell’autorità di controllo
30. GDPR – D.Lv. 101/2018 - Sanzioni Penali
In che caso si applicano?
- Trattamento illecito di dati
- Comunicazione e diffusione illecita di dati oggetto di trattamento su larga
scala
- Acquisizione fraudolenta di dati oggetto di trattamento su larga scala
- Falsità nelle dichiarazioni al Garante
- Inosservanza dei provvedimenti del Garante
- Violazione disposizioni in materia di controlli a distanza e indagini sulle
opinioni dei lavoratori
33. GDPR – cosa fare per adeguarsi
Raccolta di informazioni – sullo stato di
adeguamento rif. Al Codice e al Regolamento
Privacy, tipo di attività, strumenti aziendali,
sistema informatico…
Stesura del piano privacy – obiettivi, fasi, tempi, responsabilità, budget e
approvazione delle funzioni deputate
Interviste approfondite e analisi dei documenti – per poter svolgere
le fasi successive di adeguamento al Regolamento e implementazione del
sistema privacy
Analisi del contesto, delle esigenze , dei rischi e delle misure in
essere o da implementare
34. GDPR – cosa fare per adeguarsi
Adeguamento al GDPR e implementazione del
sistema di gestione della privacy – stesura di
documenti, modelli, regolamenti e procedure; condivisione
con le risorse aziendali e successiva applicazione
Adeguamento del sistema informatico – implementazione dei sistemi
per arginare i rischi
Formazione del personale – corsi collettivi o specialistici anche in base
alle attività da gestire
Gestione operativa – il sistema viene avviato
35. GDPR – cosa fare per adeguarsi
Verifiche o Audit dei processi aziendali
Dopo un adeguato lasso di tempo, avente come criterio
l’applicazione del GDPR e il sistema privacy implementato
36. GDPR – cosa fare per adeguarsi
Mantenimento e miglioramento del sistema
Adeguamento alle variazioni normative
Proseguimento e continuità delle attività di audit e di
formazione
37. GDPR – un modello adatto a tutti?
GDPR SI, ma…
- Ideazione di un modello standard
adatto ad enti con trattamenti di dati più semplificati, anche
se inerenti dati «particolari»
38. Il nuovo Regolamento Privacy Europeo
Sicurezza Informatica
Prevenzione,
protezione dei sistemi,
obblighi e responsabilità
dei Titolari
Giorgio Montù
39. 2017 – Allarme rosso
1° semestre del 2017 : il peggiore di sempre nell’evoluzione
delle minacce «cyber» e relativi impatti, sia dal punto di vista
quantitativo che qualitativo.
Rapporto Clusit (Associazione Italiana per la Sicurezza Informatica) 2017 sulla sicurezza ICT in
Italia
40. 2017 – 2018 Allarme rosso
• trend di crescita degli attacchi importante dell’11% rispetto all’anno precedente,
soprattutto malware
• Tra i principali attacchi quelli di tipo “ransomware” che infettano il pc, criptando i
dati dei sistemi e dei dischi di rete connessi, costringendo l’utente al pagamento di
un riscatto per avere la possibilità di accedere nuovamente ai dati
• Aziende più esposte: quelle che non adottano un approccio strutturato al
problema e che, infettate e senza un backup aggiornato, si trovano a dover pagare
un riscatto
Rapporto Clusit (Associazione Italiana per la Sicurezza Informatica) 2018 sulla sicurezza ICT in
Italia
41. Alcuni dei principali attacchi a
livello globale 2017 -2018
I cyber criminali si sono avvalsi di un
nome riconosciuto come quello di
Vodafone per spingere gli utenti ad
aprire un link che, tramite un exploit
per Microsoft Explorer, permetteva il
download e l’esecuzione di
programmi arbitrari dal web. Anche
in questo caso l’attacco è stato
utilizzato per la diffusione del
ransomware CryptoLocker. In altri
casi simili sono stati utilizzati altri
marchi conosciuti per l’invio di email
di spam apparentemente lecite. Tra
le campagne principali quelle che
fanno riferimento a “Cartella
esattoriale Equitalia”, “Pacco DHL in
consegna”, “Fattura Telecom»
42. Non tanto vicino a noi, ma modello facilmente replicabile:
Alcuni dei principali attacchi a
livello globale 2017 -2018
44. Alcuni dei principali attacchi a
livello globale 2018
Il più recente, proprio in questi giorni:
45. In mezzo a noi
Alcuni dei principali attacchi a
livello globale 2016 -2017
In questa sala …………
46. D.Lgs. 196/2003 –
Allegato B – Disciplinare tecnico in materia di misure minime di
sicurezza - ABROGATO
- Gestione profili di autorizzazione e credenziali di autenticazione
- Sistema antivirus e antispam
- Aggiornamento periodico (almeno semestrale) dei sistemi
- Backup dei dati con cadenza almeno settimanale
- Istruzioni tecnico-organizzative per gestione e salvataggio dati
- Definizione di procedure per garantire il ripristino dell’ accesso ai dati
- DPSS (successivamente abrogato)
- Successivo provvedimento LOG Amministratori di sistema (12/2009)
47. VIGE IL PRINCIPIO DI ACCOUNTABILITY
• Il Regolamento stabilisce la responsabilizzazione
(accountability) del Titolare del trattamento
• Il Titolare ha l’obbligo di dimostrarela compliance alle
prescrizioni del Regolamento mediante l’adozione di
misure tecniche(per la sicurezza fisica e
informatica dei dati) e organizzative (politiche e procedure
interne, formazione del personale, verifiche o audit…)
adeguate, nonché un apparato documentale
appropriato
48. GDPR – Sicurezza del trattamento
Art. 5 – Principi applicabili al trattamento dei dati personali
1. I dati personali sono:
…
F) Trattati in maniera da garantire un’adeguata sicurezza dei dati
personali, compresa la protezione, mediante
misure tecniche e organizzative adeguate
da trattamenti non autorizzati o illeciti e dalla perdita, dalla
distruzione o dal danno accidentali («integrità e riservatezza»)
49. GDPR – Sicurezza del trattamento
Cosa fare
Analisi dei rischi
Deve tenere conto di:
- Eventualità di distruzione accidentale o illegale, perdita, modifica, rivelazione
o accesso non autorizzati a dati personali trasmessi, conservati o elaborati
- Eventuali pregiudizi derivati: danni fisici, materiali o immateriali
- Elevatezza del rischio
Il rischio va valutato in base alla sussistenza, frequenza, gravità
50. GDPR – Sicurezza del trattamento
Cosa fare
Contromisure tecniche adeguate
Effettivamente in grado di contrastare:
- distruzione
- perdita
- modifica
- divulgazione non autorizzata
- accesso, in modo accidentale o illegale, a dati personali
trasmessi, conservati o comunque trattati
51. GDPR – Sicurezza del trattamento
Art. 32 – Sicurezza del trattamento
Tenendo conto dello stato dell’arte, dei costi di attuazione, del
contesto e delle finalità del trattamento, prevede:
- misure tecniche ed organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio
- pseudonimizzazione e cifratura dei dati (se del caso)
- assicurare riservatezza, integrità, disponibilità e resilienza
dei sistemi
- capacità di ripristinare tempestivamente la disponibilità e
l’accesso dei dati
- procedura per verificare e valutare regolarmente l’efficacia
delle misure tecniche e organizzative
52. GDPR – Sicurezza del trattamento
Cosa fare
Contromisure tecniche minime vs adeguate – qualche esempio
- per contrastare malware tipo Cryptolocker: Antivirus e antispam / email
gateway o specifici firewall avanzati
- Sicurezza ripristino dei dati: backup settimanale su unico supporto /
backup giornaliero + settimanale + mensile su più supporti, anche
delocalizzati o in cloud
- Intrusioni indesiderate: firewall tradizionale / sistemi firewall con servizi
avanzati e di «controllo» della navigazione
Altri esempi di misure adeguate: connessioni dall’esterno tramite VPN,
utilizzo password complesse e cambio a intervalli più ravvicinati,
disattivazione degli account non più utilizzati , affinamento delle misure
tecniche ritenute adeguate in funzione dei tempi di ripristino auspicati
(business continuity), etc. ….
53. GDPR – Sicurezza del trattamento
Cosa fare
Contromisure organizzative adeguate (obbligatorie o
consigliate dai legislatori)
- Formazione obbligatoria degli addetti al trattamento dei dati
- Regolamentazione dell’ utilizzo sistemi informatici/telematici
- Adozione di procedure per la verifica dell’adeguatezza delle
misure tecniche adottate
- Adesione a codici di condotta o certificazioni specifiche (p.e.
ISO 27001)
54. GDPR – Sicurezza del trattamento
Art. 33 – Data Breach
In caso di violazione dei dati personali il Titolare notifica la
violazione all’autorità Garante entro 72 ore e deve
- Descrivere la natura della violazione dei dati personali, le categorie e il numero
approssimativo di interessati, nonché le categorie e il numero approssimativo
delle registrazioni
- Comunicare il nome e i dati di contatto del responsabile della protezione dei
dati o altro punto di contatto
- Descrivere le probabili conseguenze della violazione dei dati personali
- Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio
alla violazione e, se del caso, per attenuare i possibili effetti negativi
55. GDPR – Sicurezza del trattamento
Art. 34 – Data Breach
Quando la violazione presenta un rischio elevato per i diritti e le
libertà delle persone fisiche, il Titolare comunica la violazione
all’interessato senza giustificato ritardo:
- Descrivendo con un linguaggio semplice e chiaro la natura della violazione dei
dati personali
- Comunicando il nome e dati di contatto del responsabile della protezione dei
dati o altro punto di contatto
- Descrivere le probabili conseguenze della violazione dei dati personali
- Descrivere le misure adottate o di cui si propone l’adozione per porre rimedio
alla violazione e, se del caso, per attenuare i possibili effetti negativi
56. GDPR – Sicurezza del trattamento
Art. 34 – Data Breach
Non è richiesta la comunicazione della violazione all’interessato se:
- Il Titolare ha messo in atto misure tecniche ed organizzative adeguate ed
erano state applicate ai dati personali oggetto di violazione, in particolare la
cifratura
- Il Titolare ha successivamente adottato misure per scongiurare il
sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati
- La comunicazione richiedesse sforzi sproporzionati, in tal caso si procede
tramite comunicazione pubblica