PRESIDIARE IL MERCATO SU INTERNET - Le fasi realizzative di un progetto web -...
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Intervento di Domenico Carnicella
1. Dalla forma alla sostanza: la tutela in concreto
del patrimonio informativo aziendale
DOMENICO
CARNICELLA
DATACONSEC SRL
2. FONTE NORMATIVA
REGULATION OF THE EUROPEAN PARLIAMENT
AND OF THE COUNCIL
on the protection of individuals with regard to the
processing of personal data and on the free movement
of such data (General Data Protection Regulation)
Article 22
Responsibility of the controller
Article 23
Data protection by design and by default
Article 30
Security of processing
3. ACCOUNTABILITY: DEFINIZIONE
Accountability is a universal privacy principle. This principle states that
an organization is responsible for personal information under its
control and should designate an individual or individuals who are
accountable for the organization's compliance with the remaining
principles."
La Responsabilità è un principio universale privacy. Questo principio
afferma che l'organizzazione è responsabile delle informazioni
personali sotto il suo controllo e deve designare uno o più individui che
sono responsabili della conformità dell'organizzazione con i principi
rimanenti. "
Il principio dell’accountability dei titolari del trattamento: vero
cambiamento culturale. La nuova normativa incoraggia, infatti,
coloro che trattano i dati personali ad essere responsabili e pro‐attivi,
sin dalla prima fase del trattamento dati.
4. ARTICOLO 22 “principio di responsabilità”
General obligations
Article 22 takes account of the debate on a "principle of accountability" and describes in
detail the obligation of responsibility of the controller to comply with this Regulation and to
demonstrate this compliance, including by way of adoption of internal policies and
Mechanisms for ensuring such compliance.
Obblighi generali
L'articolo 22 tiene conto del dibattito su un "principio di
responsabilità" e descrive in particolare l'obbligo di
responsabilità del Titolare di conformarsi al presente
regolamento e dimostrare tale conformità, anche mediante
l'adozione delle politiche interne ed meccanismi per
assicurare tale conformità.
5. La responsabilità del Titolare
1. Il Titolare adotta politiche e attua misure adeguate per garantire , ed
essere in grado di dimostrare che il trattamento dei dati personali si svolga nel
rispetto del presente regolamento.
2. Le misure di cui al paragrafo 1 comprendono in particolare:
(A) conservare la documentazione di cui all'articolo 28;
(B) soddisfi i requisiti di sicurezza dei dati di cui all'articolo 30;
(C) eseguire una valutazione dei dati di protezione d'impatto (analisi dei
rischi) ai sensi dell'articolo 33;
(D) conformi ai requisiti di autorizzazione preventiva o consultazione
preventiva l'autorità di vigilanza ai sensi dell'articolo 34 (1) e (2);
(E) la della protezione dei dati ai sensi dell'articolo 35 designazione di un
responsabile
3. Il responsabile del trattamento adotta meccanismi atti a garantire la
verifica dell’ efficacia delle misure di cui ai paragrafi 1 e 2. Se adeguata, questa
verifica è effettuata da revisori interni o esterni.
[…]
7. Articolo 30 “Sicurezza del trattamento”
1. Il Titolare (od il Responsabile) attua le misure tecniche e misure organizzative per
assicurare un livello di sicurezza adeguato ai rischi rappresentata dal trattamento e
alla natura dei dati personali da proteggere, visto lo stato dell'arte e dei costi della loro
attuazione.
2. Il Titolare (od il Responsabile) deve, a seguito di una valutazione dei rischi,
prendere le misure di cui al paragrafo 1, per proteggere i dati personali contro
accidentale o distruzione illegale o perdita accidentale e per prevenire eventuali
forme illecite di elaborazione, in particolare qualsiasi divulgazione non autorizzata,
la diffusione o l'accesso, o alterazione dei dati personali
3. La Commissione ha il potere di adottare atti delegati ai sensi L'articolo 86 al fine di
specificare ulteriormente i criteri e le condizioni per la misure tecniche e
organizzative di cui ai paragrafi 1 e 2, compreso il determinazioni di cosa costituisce lo
stato dell'arte, per settori specifici e specifiche situazioni di elaborazione dati, in
particolare tenendo conto degli sviluppi in tecnologie e soluzioni per la privacy by design
e protezione dei dati per impostazione predefinita, [...]
8. Articolo 30 “Sicurezza del trattamento”
4. La Commissione può adottare, ove necessario, i regolamenti attuativi per
specificare la requisiti di cui ai paragrafi 1 e 2 alle diverse situazioni, in
particolare:
(a) impedire qualsiasi accesso non autorizzato ai dati personali;
(b) evitare la divulgazione non autorizzata, lettura, copia, modifica,
cancellazione o la rimozione dei dati personali;
(c) assicurare la verifica della legittimità delle operazioni di
trattamento.
9. Articolo 33: valutazione d'impatto
sulla protezione dei dati
Valutazione dell'impatto sulla protezione dei dati e previa autorizzazione
L'articolo 33 introduce l'obbligo dei Titolari di effettuare la
valutazione dell’ impatto sulla protezione dei dati, prima di
effettuare operazioni di trattamento a rischio (risk assessment)
[…]
La valutazione deve contenere almeno una descrizione generale delle
operazioni di trattamento previste, la valutazione dei rischi per i diritti e le
libertà di dati soggetti a trattamento, le misure previste per affrontare i rischi,
le garanzie, le misure di sicurezza e meccanismi per garantire la protezione
dei dati personali e per dimostrare il rispetto del presente regolamento,
tenendo conto dei diritti e dei legittimi interessi dei titolari dei dati
(interessati persone fisiche) e delle altre persone interessate.
10. In concreto: aree di intervento
Al fine di uniformare le soluzioni di sicurezza individuate ,alle best practice
nell’ambito dell’information security e della privacy, si propone di ricondurre
l’analisi ad aree di intervento già delineate dagli standard internazionali quali
lo standard ISO/IEC 27001:2005, che definisce i requisiti essenziali per
costituire un sistema di gestione della sicurezza delle informazioni.
• Security Policy
• Organizing Information Security
• Asset Management
• Human Resources Security
• Physical and Environmental Security
• Communications and Operations Management
• Access Control
• Information Systems Acquisition, Development and Maintenance
• Information Security Incident Management
• Business Continuity Management
• Compliance
11. Metodo
A titolo esemplificativo per la categoria Asset Management:
A 7 – Asset Management
A 7.1 – Responsibility for assets
A 7.1.1. – Inventory of assets
A 7.1.2 – Ownership of assets
A 7.1.3 – Acceptable use of assets
A 7.2 – Information classification
A 7.2.1. – Classification guidelines
A 7.2.2. – Information labelling and handling
12. A 7.1.3 – Acceptable use of assets
Indice
Premessa (fonti ed ente emittente)
Entrata in vigore del regolamento e pubblicità
Campo di applicazione del regolamento
Utilizzo del Personal Computer
Gestione ed assegnazione delle credenziali di autenticazione
Utilizzo della rete di Azienda
Utilizzo e conservazione dei supporti rimovibili
Utilizzo di PC portatili
Uso della posta elettronica
Blackberry e tablet device
Navigazione in Internet (TOKEN)
Protezione antivirus
Utilizzo dei telefoni, fax e fotocopiatrici aziendali
Osservanza delle disposizioni in materia di Privacy
Accesso ai dati trattati dall’utente
Sistema di controlli graduali
Sanzioni
Aggiornamento e revisione
Appendice
14. Criteri di sicurezza: obiettivi
• Riservatezza: capacità della soluzione di proteggere la confidenzialità
delle informazioni da possibili accessi non autorizzati
• Integrità: capacità della soluzione di garantire l’accuratezza e
completezza delle informazioni ed evitarne la modifica non autorizzata
• Disponibilità: capacità della soluzione di garantire la disponibilità delle
informazioni quando richieste dai processi aziendali
• Conformità: capacità della soluzione di garantire la conformità ai
requisiti derivanti da normative esterne, regolamenti, accordi
contrattuali e/o policy e procedure interne
15. Metodo: fasi di adeguamento
1. Analisi dei processi di trattamento dei dati
1. Analisi assetto organizzativo dell’ organizzazione: analisi dello scenario, delle
normative di riferimento e le norme applicabili in genere, mediante la
definizione del perimetro e la rilevazione delle sue varie componenti
(procedure già presenti, contratti, SLA, tipologia di informazioni trattate,
applicazioni, sistemi, procedure e prassi, persone coinvolte e loro ruoli
dell’organizzazione, interfacce verso l’esterno, outsourcing tecnologico e
funzionale)
2. Mappatura delle aree aziendali “sensibili” e dell’ambito di applicazione
‐OUPUT: Documento struttura organizzativa
2. IT audit assessment
1. Esame attuali procedure di gestione tecnico‐ normativa di trattamento dei dati
2. Analisi conformità adempimenti effettuati
3. Analisi delle misure di sicurezza tecnologiche implementate
‐OUTPUT: Report Gap Analysis segue………
18. Il decalogo per una scelta consapevole
EFFETTUARE UNA VERIFICA SULL’AFFIDABILITÀ DEL FORNITORE
PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA PORTABILITÀ DEI DATI
ASSICURARSI LA DISPONIBILITÀ DEI DATI IN CASO DI NECESSITÀ
SELEZIONARE I DATI DA INSERIRE NELLA NUVOLA
NON PERDERE DI VISTA I DATI
INFORMARSI SU DOVE RISIEDERANNO, CONCRETAMENTE, I DATI
ATTENZIONE ALLE CLAUSOLE CONTRATTUALI
VERIFICARE TEMPI E MODALITÀ DI CONSERVAZIONE DEI DATI
ESIGERE ADEGUATE MISURE DI SICUREZZA
FORMARE ADEGUATAMENTE IL PERSONALE
19. Una precauzione extra per gli utenti privati
Le disposizioni previste dal Codice della privacy non si applicano a singole
persone che trattano i dati per scopi personali, senza diffonderli magari su
Internet e senza effettuare comunicazioni sistematiche di tali dati a più
individui. È comunque opportuno ricordare che anche le cosiddette “persone
fisiche” sono tenute a conservare con cura i dati affinché la loro eventuale
perdita non possa causare danni ad altre persone. L’adozione di nuove
tecnologie per la mobilità, come smartphone e tablet, dotati di grandi
quantità di memoria, spesso connessi a servizi cloud non protetti che
consentono di sfruttare lo stesso strumento per attività private e professionali,
ha però aumentato il rischio di perdita di controllo dei dati personali. Si
consiglia quindi di conservare con cura gli strumenti tecnologici utilizzati per
scopi personali, e di adottare tutte le cautele al fine di impedire accessi anche
accidentali, da parte di terzi, ai dati personali.