Date post: | 20-Mar-2017 |
Category: |
Law |
Upload: | digital-law-communication |
View: | 13 times |
Download: | 0 times |
ICT Security e Risk assessmentsecondo il Regolamento UE 679/2016
Lecce, 3 Marzo 2017
Relatore: Lino Fornaro, Senior Security Consultant, Evolumia Srl
Senior Security Consultant in EVOLUMIA SRL
Lead Auditor ISO/IEC 27001:13
OSSTMM PROFESSIONAL SECURITY TESTER - OPST
OSSTMM PROFESSIONAL SECURITY ANALYST - OPSA
ISECOM Certified Trainer
Certificato ICT Security Manager – registro AICQ Sicev
Docente Master sulla Sicurezza (ICS) presso TILS - L’Aquila
Relatore in conferenze di sensibilizzazione sul tema ICT Security
Esperto Normativa Italiana Privacy (DLgs 196/03)
Esperto normative europee Cybersecurity
Membro Comitato Direttivo CLUSIT
Membro Comitato Tecnico Scientifico AICQ Sicev “Uni 11506
Certificazioni informatiche”
Membro sottocommissione SC27 di UNINFO
Socio Fondatore, membro Advisory Board di ANORC
Membro Coordinamento ANORC PRIVACY
$whois Lino Fornaro
Regolamento Europeo: Principali novità
Rafforzata la trasparenza dei trattamenti (Informazioni più chiare e
complete)
Rafforzato il controllo sui propri dati (nuove modalità di gestione
del consenso e diritto all’oblio)
Limiti alla decisioni che hanno effetti giuridici basate su trattamenti
automatizzati
Diritto alla portabilità dei dati nel mercato digitale
Più responsabilità per le imprese
Unico insieme di norme in tutti gli stati dell’UE
Semplificazioni per i soggetti che offrono maggiori garanzie
Regolamento Europeo: nuovo approccio alla protezione del dato
Adeguamento delle misure di sicurezza al nuovo contesto:
nuove tecnologie ed evoluzione del cyber crime
Enfatizzati i principi della vecchia direttiva EU
Richiesto un approccio sistemico alla sicurezza e alla
protezione del dato
Richiamo alla RISK ANALISYS diffuso (misure di sicurezza,
PIA)
Richiesta l’efficacia e l’adozione preventiva
Richiesta la rilevazione e la denuncia delle violazioni alla
sicurezza (Data Breach)
Ricorso alla Certificazione come strumento per la compliance
D.Lgs 196/03: Principio di necessità nel trattamento dei dati
Art. 3.
1. I sistemi informativi e i programmi informatici sono
configurati riducendo al minimo l'utilizzazione di dati personali
e di dati identificativi, in modo da escluderne il trattamento
quando le finalità perseguite nei singoli casi possono essere
realizzate mediante, rispettivamente, dati anonimi od
opportune modalità che permettano di identificare
l'interessato solo in caso di necessità.
Art.25 Protezione dei Dati sin dalla progettazione (PRIVACY by Design)
Tenuto conto dello stato dell’arte e dei costi di attuazione,
nonché della natura, dell’ambito di applicazione, del contesto
e delle finalità del trattamento…
..come anche dei rischi aventi probabilità e gravità diverse
per i diritti e le libertà delle persone fisiche….
..sia al momento di determinare i mezzi del trattamento sia
all’atto del trattamento stesso
Il titolare del trattamento mette in atto misure techiche ed
organizzative adeguate, quali la pseudonimizzazione, volte
ad attuare in modo efficace i principi di protezione dei dati,
quali la minimizzazione, .......
Art.25 … e protezione per impostazione predefinita(PRIVACY by Default)
Il titolare mette in atto misure tecniche e organizzative
adeguate per garantire che siano trattati, per impostazione
predefinita, solo i dati personali necessari per ogni specifica
finalità di trattamento, …..
... In particolare dette misure garantiscono che, per
impostazione predefinita, non siano resi accessibili dati
personali ad un numero indefinito di persone fisiche senza
l’intervento della persona fisica.
Un meccanismo di certificazione approvato ai sensi
dell’art.42 può essere utilizzato come elemento per
dimostrare la conformità ai requisiti......
Pseudonimizzazione ?
Il trattamento di dati personali in modo tale che i dati
personali non possano essere attribuiti a un interessato
specifico senza l’utilizzo di informazioni aggiuntive, a
condizione che tali informazioni aggiuntive siano conservate
separatamente e soggette a misure tecniche e organizzative
intese a garantire che tali dati personali non siano
attribuiti a una persona fisica identificata o
identificabile.
ATTENZIONE: DIVERSO DAL DATO ANONIMO
Art.32 Sicurezza del trattamento
Tenendo conto dello stato dell’arte e dei costi di attuazione,
nonché
• della natura
• dell’oggetto
• del contesto
• delle finalità del trattamento
come anche del rischio di varia probabilità e gravità per i diritti e
le libertà delle persone fisiche
Il titolare del trattamento e il responsabile del trattamento mettono
in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le
altre, se del caso:
RIS
K A
NA
LIS
YS
Art.32 Sicurezza del trattamento
a) La pseudonimizazione e la cifratura dei dati personali; (utile in caso di data breach)
b) La capacità di assicurare su base permanente la riservatezza,
l’integrità, la disponibilità e la resilienza dei sistemi e dei
servizi di trattamento;(capacità di adattamento a condizione d’uso e resistenza a situazioni avverse per garantire disponibilità dei servizi erogati)
a) La capacità di ripristinare tempestivamente la disponibilità e
l’accesso dei dati personali in caso di incidente fisico o tecnico;(procedure di DR e incident response)
b) Una procedura per testare, verificare e valutare regolarmente
l’efficacia delle misure tecniche e organizzative al fine di
garantire la sicurezza del trattamento(come per la iso 27001)
RIS
K A
NA
LIS
YS
, D
R,
IS
O
Art.32 Sicurezza del trattamento
2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in
special modo dei rischi presentati dal trattamento che derivano in
particolare dalla distruzione, dalla perdita, dalla modifica, dalla
divulgazione non autorizzata o dall’accesso, in modo
accidentale o illegale, a dati personali trasmessi, conservati o
comunque trattati.
3. L’adesione ad un codice di condotta approvato di cui all’art.40 o
a un meccanismo di certificazione approvato di cui all’art.42
può essere utilizzata come elemento per dimostrare la conformità
ai requisiti di cui al paragrafo 1 del presente articolo
RIS
K A
NA
LIS
YS
Art.33 Notifica di una violazione dei dati personali all’autorità di controllo
In caso di 1. violazione dei dati personali, il titolare del
trattamento notifica la violazione all’autorità di controllo ….
senza ingiustificato ritardo ...entro 72 ore(*) dal momento in
cui è venuto a conoscenza, a meno che sia improbabile
che la violazione dei dati personali presenti un rischio
per i diritti e le libertà delle persone fisiche (**)
DA
TA
BR
EA
CH
(*) Misure tecniche
che individuino la
violazione e
notifichino il titolare
(**) ricorso alla
cifratura, a patto
che le chiavi
crittografiche siano
al sicuro (e non sui
sistemi violati)
Art.33 Notifica di una violazione dei dati personali all’autorità di controllo
La notifica d cui al paragrafo 1 deve almeno:
Descrivere la a) natura della violazione dei dati personali
compresi, ove possibile, le categorie e il numero
approssimativo di interessati in questione nonché le
categorie e il numero approssimativo di registrazioni di dati
personali in questione;
Comunicare il nome e i dati di contatto del responsabile della b)
protezione dei dati o di altro punto di contatto presso cui
ottenere informazioni;
DA
TA
BR
EA
CH
Art.33 Notifica di una violazione dei dati personali all’autorità di controllo
La notifica d cui al paragrafo 1 deve almeno:
Descrivere le c) probabili conseguenze della violazione (*) dei
dati personali
Descrivere le d) misure adottate o di cui si propone l’adozione da
parte del titolare per porre rimedio alla violazione dei dati
personali e anche, se del caso, per attenuare i possibili effetti
negativi (**)
DA
TA
BR
EA
CH
(*) la Risk Analisys
dovrebbe aver contemplato
e misurato questo rischio e
determinato le misure
preventive
(**) un piano di Risposta
agli incidenti e una
strategia di gestione della
crisi sono fortemente
consigliate
Art.34 Comunicazione di una violazione dei dati personali all’interessato
1. Quando la violazione di dati personali è suscettibile di
presentare un rischio elevato per i diritti e le libertà
delle persona fisiche, il titolare del trattamento comunica la
violazione all’interessato senza ingiustificato ritardo
La comunicazione all2. ’interessato …. descrive con un
linguaggio semplice e chiaro la natura della violazione
dei dati personali e contiene almeno le informazioni e le
raccomandazioni di cui all’art.33, par.3 lettere b) c) e d).
DA
TA
BR
EA
CH
Art.34 Comunicazione di una violazione dei dati personali all’interessato
3. Non è richiesta la comunicazione all’interessato… se è
soddisfatta una delle seguenti condizioni:
a) Il titolare ha messo in atto le misure tecniche e
organizzative adeguate di protezione e tali misure erano
state applicate ai dati personali oggetto della violazione,
in particolare quelle destinate a rendere i dati personali
incomprensibili a chiunque non sia autorizzato ad accedervi,
quali la cifratura.
DA
TA
BR
EA
CH
Art.34 Comunicazione di una violazione dei dati personali all’interessato
b) Il titolare del trattamento ha successivamente adottato misure
atte a scongiurare il sopraggiungere di un rischio elevato per i
diritti e le libertà degli interessatindi cui al par.1
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal
caso, si procede invece a una comunicazione pubblica o a una
misura simile, tramite la quale gli interessati sono informati con
analoga efficacia.
DA
TA
BR
EA
CH
Una strategia di
comunicazione che tuteli
l’immagine e che preservi il
business aziendale è
necessaria
Art.34 Comunicazione di una violazione dei dati personali all’interessato
Danni fisici, materiali, morali
Perdita del controllo dei dati
Discriminazione
Furto o usurpazione d'identità
Decifratura non autorizzata della pseudonimizzazione
Pregiudizio alla reputazione
Perdita di riservatezza dei dati protetti da segreto professionale
Perdite finanziarie
Etc.
DA
TA
BR
EA
CH
Paragrafo 1
Quando un tipo di trattamento, allorché prevede in particolare l’uso
di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le
finalità del trattamento, può presentare un rischio elevato per i
diritti e le libertà delle persone fisiche, il titolare del
trattamento effettua, prima di procedere al trattamento, una
valutazione dell’impatto dei trattamenti previsti sulla
protezione dei dati personali. Una singola valutazione può
esaminare un insieme di trattamenti simili che presentano rischi
elevati analoghi.
Art.35 Valutazione d’impatto sulla protezione dei dati (PIA)
La valutazione è richiesta in particolare nei seguenti casi:
• Una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione….
• Il trattamento, su larga scala, di categorie particolari di dati personali, di cui all’art.9 par.1, o di dati relativi a confanne penali e a reati di cui all’art.10 ...
• La sorveglianza sistematica su larga scala di una zona accessibile al pubblico
L’autorità redige e rende pubblico un elenco delle tipologie di trattamenti soggetti alla valutazione d’impatto…
Art.35 Valutazione d’impatto sulla protezione dei dati
La valutazione d’impatto contiene almeno:
Una descrizione sistematica dei trattamenti previsti e delle finalità di •trattamento, compreso, se del caso, l’interesse legittimo perseguito dal titolare del trattamento;
Una valutazione della necessità e proporzionalità dei trattamenti in •relazione alle finalità;
Una• valutazione dei rischi per i diritti e le libertà degli interessati …
• Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezionedei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione
Art.35 Valutazione d’impatto sulla protezione dei dati
La PIA è uno strumento per indirizzare i potenziali impatti sulla privacy di un processo, un sistema informativo, un programma, un modulo software, un device o qualunque altra iniziativa che tratterà dati personali (PII – Personal IdentifiableInformation) e , in accordo con gli stakeholders, per adottare le azioni necessarie a trattare i rischi privacy.
E’ un processo che inizia nelle fasi embrionali di una iniziativa, quando ci sono ancora opportunità di influenzare l’esito e garantire la Privacy by Designì
Perché fare un PIA (quando non richiesto)
identificare gli • impatti, i rischi e le responsabilità sulla privacy;
Fornire • input per la progettazione per la tutela della privacy
Esaminare i rischi privacy di un nuovo sistema informativo e •valutarne gli impatti e le probabilità;
Gestire gli aggiornamenti successivi o l• ’aggiunta di nuove funzionalità che potrebbero impattare sui dati personali che sono trattati;
Condividere e mitigare i rischi privacy con gli • stakeholders, o fornire evidenza di compliance
Perché fare un PIA (quando non richiesto)
• Evitare costi inutili
• Scongiurare perdita di fiducia e reputazione
• Informare il responsabile delle strategie di comunicazione
• Soddisfare e superare i requisiti legali
Perché fare un PIA (quando non richiesto)
Riservatezza info relative alla persona •(Data e info privacy)
Riservatezza della persona •(integrità fisica, biometria, perquisizioni, vaccinazioni, etc)
Privacy comportamenti personali •(videosorveglianza, preferenze sessuali, politiche, “media”)
Riservatezza comunicazioni personali•(intercettazioni, monitoraggi, mail, etc)
PIA: What means privacy
Identificazione degli impatti che il • “progetto” ha sulla privacy;
Valutazione deli impatto dal punto di vista di tutti gli •stakeholder (rif. Art 35 p 9);
Comprensione del livello di accettazione del progetto •e delle sue caratteristiche/featuresdall’organizzazione e dalle persone interessate (loro rappresentanti);
PIA: OUTPUT
Identificazione delle alternative meno invasive per •la privacy;
Chiarezza sulle esigenze aziendali che hanno •effetti negativi sulla privacy e che non sono evitabili (accettazione del rischio residuo)
Documentazione e pubblicazione dei • risultati
Necessità di una • “consultazione preventiva”
PIA: OUTPUT
La Responsabilità di condurre una PIA è solitamente in capo ad un
Senior Executive Level
con lead su Risk Management, Audit e Compliance
Il regolamento Europeo richiede per tale compito l’intervento del
Data Protection Officer
PIA: CHI la conduce
1. Il titolare del trattamento, prima di procedere al trattamento, consulta l’autorità di controllo qualora la valutazione d’impatto sulla protezione dei dati a norma dell’art.35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio
Art.36 Consultazione Preventiva
In concreta attuazione del “principio di accountability”, tramite
l’esecuzione della Valutazione di Impatto, se il risultato non è
quello di un rischio elevato, si possono evitare gli obblighi
amministrativi di consultazione preventiva dell’autorità.
2. Se ritiene che il trattamento previsto di cui al par.1 violi il presente regolamento, in particolare qualora il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, l’autorità di controllo fornisce, entro un termine di otto settimane dal ricevimento della richiesta di consultazione, un parere scritto al titolare del trattamento e può avvalersi dei poteri di cui all’art.58. Tale periodo può essere prorogato di sei settimane, tenendo conto della complessità del trattamento previsto. L’autorità di controllo informa il titolare del trattamento …omississ... entro un mese dal ricevimento della richiesta ...omississ...
Art.36 Consultazione Preventiva
In assenza di un riscontro nei tempi di cui al par.2 il titolare può
procedere al trattamento adottando tutte le misure previste per
attenuare il rischio, fatto salvo il potere dell’autorità di intervenire
anche in seguito, anche bloccando il trattamento ma senza poter
notificare al titolare una violazione dell’art.36
3. Al momento di consultare l’autorità di controllo ai sensi del par.1, il titolare del trattamento comunica all’autorità di controllo:
a) Se del caso, le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei responsabili del trattamento, in particolare relativamente al trattamento nell’ambito di un gruppo imprenditoriale;
b) Le finalità e i mezzi del trattamento previsto
c) Le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del presente regolamento;
d) Se del caso, i dati di contatto del titolare della protezione dei dati;
e) La valutazione di impatto sulla protezione dei dati di cui all’art.35;
f) Ogni altra informazione richiesta dall’autorità di controllo
Art.36 Consultazione Preventiva
ISO 29100 - PRIVACY FRAMEWORK
ISO 29134 -PRIVACY Impact Assessment
ISO 29151 - PRIVACY Code of Practice for PII protection
STANDARD E NORME ISO
PR
IV
AC
Y M
AN
AG
EM
EN
T
• 1.Consent and choice
• 2.Purpose legitimacy and specification
• 3.Collection limitation
• 4.Data minimization
• 5.Use, retention and disclosure limitation
• 6.Accuracy and quality
• 7.Openness, transparency and notice
• 8.Individual participation and access
• 9.Accountability
10• .Information security
11• .Privacy compliance
ISO 29100 - Principi
PR
IV
AC
Y P
RIN
CIP
I
Metodologia per condurre un Privacy Impact Assessment funzionale a:
• identificare rischi relativi alla privacy e responsabilità collegate
• fornire input per la progettazione di sistemi ("privacy by design")
• riesaminare l'impatto sulla protezione delle PII di un sistema nuovo oppure soggetto a modifiche significative
• allocare risorse per il contenimento di impatti sulla privacy
• fornire informazioni su ambiti in cui la protezione dei dati personali è un tema chiave
• fornire evidenza di conformità dove questa è richiesta
• fornire evidenza ai PII principal delle misure di protezione presenti sul trattamento delle loro PII
ISO 29134