Seminario Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Parma 23 maggio 2012

1. Dalla forma alla sostanza: la tutela in concreto
del patrimonio informativo aziendale
DOMENICO
CARNICELLA
DATACONSEC SRL

2. FONTE NORMATIVA
REGULATION OF THE EUROPEAN PARLIAMENT
AND OF THE COUNCIL
on the protection of individuals with regard to the
processing of personal data and on the free movement
of such data (General Data Protection Regulation)
Article 22
Responsibility of the controller
Article 23
Data protection by design and by default
Article 30
Security of processing

3. ACCOUNTABILITY: DEFINIZIONE
Accountability is a universal privacy principle. This principle states that
an organization is responsible for personal information under its
control and should designate an individual or individuals who are
accountable for the organization's compliance with the remaining
principles."
La Responsabilità è un principio universale privacy. Questo principio
afferma che l'organizzazione è responsabile delle informazioni
personali sotto il suo controllo e deve designare uno o più individui che
sono responsabili della conformità dell'organizzazione con i principi
rimanenti. "
Il principio dell’accountability dei titolari del trattamento: vero
cambiamento culturale. La nuova normativa incoraggia, infatti,
coloro che trattano i dati personali ad essere responsabili e pro‐attivi,
sin dalla prima fase del trattamento dati.

4. ARTICOLO 22 “principio di responsabilità”
General obligations
Article 22 takes account of the debate on a "principle of accountability" and describes in
detail the obligation of responsibility of the controller to comply with this Regulation and to
demonstrate this compliance, including by way of adoption of internal policies and
Mechanisms for ensuring such compliance.
Obblighi generali
L'articolo 22 tiene conto del dibattito su un "principio di
responsabilità" e descrive in particolare l'obbligo di
responsabilità del Titolare di conformarsi al presente
regolamento e dimostrare tale conformità, anche mediante
l'adozione delle politiche interne ed meccanismi per
assicurare tale conformità.

5. La responsabilità del Titolare
1. Il Titolare adotta politiche e attua misure adeguate per garantire , ed
essere in grado di dimostrare che il trattamento dei dati personali si svolga nel
rispetto del presente regolamento.
2. Le misure di cui al paragrafo 1 comprendono in particolare:
(A) conservare la documentazione di cui all'articolo 28;
(B) soddisfi i requisiti di sicurezza dei dati di cui all'articolo 30;
(C) eseguire una valutazione dei dati di protezione d'impatto (analisi dei
rischi) ai sensi dell'articolo 33;
(D) conformi ai requisiti di autorizzazione preventiva o consultazione
preventiva l'autorità di vigilanza ai sensi dell'articolo 34 (1) e (2);
(E) la della protezione dei dati ai sensi dell'articolo 35 designazione di un
responsabile
3. Il responsabile del trattamento adotta meccanismi atti a garantire la
verifica dell’ efficacia delle misure di cui ai paragrafi 1 e 2. Se adeguata, questa
verifica è effettuata da revisori interni o esterni.
[…]

6. Segue art. 22 “Proporzionalità”
4. La Commissione ha il potere di adottare regolamenti
attuativi ai sensi L'articolo 86 al fine di precisarne le
ulteriori criteri e requisiti per misure appropriate di cui al
paragrafo 1, oltre a quelle già di cui al al paragrafo 2, le
condizioni per i meccanismi di verifica e controllo di cui al
paragrafo 3 e per quanto riguarda i criteri di
proporzionalità di cui al paragrafo 3, e in considerazione
misure specifiche per le micro, piccole e medie‐
imprese.

7. Articolo 30 “Sicurezza del trattamento”
1. Il Titolare (od il Responsabile) attua le misure tecniche e misure organizzative per
assicurare un livello di sicurezza adeguato ai rischi rappresentata dal trattamento e
alla natura dei dati personali da proteggere, visto lo stato dell'arte e dei costi della loro
attuazione.
2. Il Titolare (od il Responsabile) deve, a seguito di una valutazione dei rischi,
prendere le misure di cui al paragrafo 1, per proteggere i dati personali contro
accidentale o distruzione illegale o perdita accidentale e per prevenire eventuali
forme illecite di elaborazione, in particolare qualsiasi divulgazione non autorizzata,
la diffusione o l'accesso, o alterazione dei dati personali
3. La Commissione ha il potere di adottare atti delegati ai sensi L'articolo 86 al fine di
specificare ulteriormente i criteri e le condizioni per la misure tecniche e
organizzative di cui ai paragrafi 1 e 2, compreso il determinazioni di cosa costituisce lo
stato dell'arte, per settori specifici e specifiche situazioni di elaborazione dati, in
particolare tenendo conto degli sviluppi in tecnologie e soluzioni per la privacy by design
e protezione dei dati per impostazione predefinita, [...]

8. Articolo 30 “Sicurezza del trattamento”
4. La Commissione può adottare, ove necessario, i regolamenti attuativi per
specificare la requisiti di cui ai paragrafi 1 e 2 alle diverse situazioni, in
particolare:
(a) impedire qualsiasi accesso non autorizzato ai dati personali;
(b) evitare la divulgazione non autorizzata, lettura, copia, modifica,
cancellazione o la rimozione dei dati personali;
(c) assicurare la verifica della legittimità delle operazioni di
trattamento.

9. Articolo 33: valutazione d'impatto
sulla protezione dei dati
Valutazione dell'impatto sulla protezione dei dati e previa autorizzazione
L'articolo 33 introduce l'obbligo dei Titolari di effettuare la
valutazione dell’ impatto sulla protezione dei dati, prima di
effettuare operazioni di trattamento a rischio (risk assessment)
[…]
La valutazione deve contenere almeno una descrizione generale delle
operazioni di trattamento previste, la valutazione dei rischi per i diritti e le
libertà di dati soggetti a trattamento, le misure previste per affrontare i rischi,
le garanzie, le misure di sicurezza e meccanismi per garantire la protezione
dei dati personali e per dimostrare il rispetto del presente regolamento,
tenendo conto dei diritti e dei legittimi interessi dei titolari dei dati
(interessati persone fisiche) e delle altre persone interessate.

10. In concreto: aree di intervento
Al fine di uniformare le soluzioni di sicurezza individuate ,alle best practice
nell’ambito dell’information security e della privacy, si propone di ricondurre
l’analisi ad aree di intervento già delineate dagli standard internazionali quali
lo standard ISO/IEC 27001:2005, che definisce i requisiti essenziali per
costituire un sistema di gestione della sicurezza delle informazioni.
• Security Policy
• Organizing Information Security
• Asset Management
• Human Resources Security
• Physical and Environmental Security
• Communications and Operations Management
• Access Control
• Information Systems Acquisition, Development and Maintenance
• Information Security Incident Management
• Business Continuity Management
• Compliance

11. Metodo
A titolo esemplificativo per la categoria Asset Management:
A 7 – Asset Management
A 7.1 – Responsibility for assets
A 7.1.1. – Inventory of assets
A 7.1.2 – Ownership of assets
A 7.1.3 – Acceptable use of assets
A 7.2 – Information classification
A 7.2.1. – Classification guidelines
A 7.2.2. – Information labelling and handling

12. A 7.1.3 – Acceptable use of assets
Indice
 Premessa (fonti ed ente emittente)
 Entrata in vigore del regolamento e pubblicità
 Campo di applicazione del regolamento
 Utilizzo del Personal Computer
 Gestione ed assegnazione delle credenziali di autenticazione
 Utilizzo della rete di Azienda
 Utilizzo e conservazione dei supporti rimovibili
 Utilizzo di PC portatili
 Uso della posta elettronica
 Blackberry e tablet device
 Navigazione in Internet (TOKEN)
 Protezione antivirus
 Utilizzo dei telefoni, fax e fotocopiatrici aziendali
 Osservanza delle disposizioni in materia di Privacy
 Accesso ai dati trattati dall’utente
 Sistema di controlli graduali
 Sanzioni
 Aggiornamento e revisione
 Appendice

13. Estratto tabella efficacia controlli

14. Criteri di sicurezza: obiettivi
• Riservatezza: capacità della soluzione di proteggere la confidenzialità
delle informazioni da possibili accessi non autorizzati
• Integrità: capacità della soluzione di garantire l’accuratezza e
completezza delle informazioni ed evitarne la modifica non autorizzata
• Disponibilità: capacità della soluzione di garantire la disponibilità delle
informazioni quando richieste dai processi aziendali
• Conformità: capacità della soluzione di garantire la conformità ai
requisiti derivanti da normative esterne, regolamenti, accordi
contrattuali e/o policy e procedure interne

15. Metodo: fasi di adeguamento
1. Analisi dei processi di trattamento dei dati
1. Analisi assetto organizzativo dell’ organizzazione: analisi dello scenario, delle
normative di riferimento e le norme applicabili in genere, mediante la
definizione del perimetro e la rilevazione delle sue varie componenti
(procedure già presenti, contratti, SLA, tipologia di informazioni trattate,
applicazioni, sistemi, procedure e prassi, persone coinvolte e loro ruoli
dell’organizzazione, interfacce verso l’esterno, outsourcing tecnologico e
funzionale)
2. Mappatura delle aree aziendali “sensibili” e dell’ambito di applicazione
‐OUPUT: Documento struttura organizzativa
2. IT audit assessment
1. Esame attuali procedure di gestione tecnico‐ normativa di trattamento dei dati
2. Analisi conformità adempimenti effettuati
3. Analisi delle misure di sicurezza tecnologiche implementate
‐OUTPUT: Report Gap Analysis segue………

16. Metodo: fasi di adeguamento
3. Compliance normativa
1. Aggiornamento ed integrazione documentazione legale sulla base delle risultanze della Gap Analysis
2. Redazione Regolamenti cogenti
3. Definizione piani di formazione
‐OUTPUT: Documentazione di Compliance,
4. Analisi dei rischi
1. Test di sicurezza sulla rete ed i sistemi IT interni (Vulnerability Assessment)
2. Test di sicurezza sul perimetro esterno (Penetration Testing)
3. Identificazione e valutazione dei rischi
‐OUTPUT: Risk Mitigation Plan da allegare al DPS
5. Security Policy
1. Definizione delle politiche di sicurezza di alto livello
2. Definizione delle politiche di sicurezza specifiche per “settori critici”
3. Avviamento e attuazione delle procedure
4. Distribuzione della documentazione del Sistema di Gestione
‐OUTPUT: Documento delle Policy, Manuale delle Procedure
6. Audit
1. Elaborazione Piano di audit
2. Conduzione di un ciclo di audit completo
3. Definizione e applicazione delle azioni correttive
‐OUTPUT: Redazione del rapporto di audit per la direzione

17. Last minute “cloud” e privacy

18. Il decalogo per una scelta consapevole
 EFFETTUARE UNA VERIFICA SULL’AFFIDABILITÀ DEL FORNITORE
 PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA PORTABILITÀ DEI DATI
 ASSICURARSI LA DISPONIBILITÀ DEI DATI IN CASO DI NECESSITÀ
 SELEZIONARE I DATI DA INSERIRE NELLA NUVOLA
 NON PERDERE DI VISTA I DATI
 INFORMARSI SU DOVE RISIEDERANNO, CONCRETAMENTE, I DATI
 ATTENZIONE ALLE CLAUSOLE CONTRATTUALI
 VERIFICARE TEMPI E MODALITÀ DI CONSERVAZIONE DEI DATI
 ESIGERE ADEGUATE MISURE DI SICUREZZA
 FORMARE ADEGUATAMENTE IL PERSONALE

19. Una precauzione extra per gli utenti privati
Le disposizioni previste dal Codice della privacy non si applicano a singole
persone che trattano i dati per scopi personali, senza diffonderli magari su
Internet e senza effettuare comunicazioni sistematiche di tali dati a più
individui. È comunque opportuno ricordare che anche le cosiddette “persone
fisiche” sono tenute a conservare con cura i dati affinché la loro eventuale
perdita non possa causare danni ad altre persone. L’adozione di nuove
tecnologie per la mobilità, come smartphone e tablet, dotati di grandi
quantità di memoria, spesso connessi a servizi cloud non protetti che
consentono di sfruttare lo stesso strumento per attività private e professionali,
ha però aumentato il rischio di perdita di controllo dei dati personali. Si
consiglia quindi di conservare con cura gli strumenti tecnologici utilizzati per
scopi personali, e di adottare tutte le cautele al fine di impedire accessi anche
accidentali, da parte di terzi, ai dati personali.

20. www.dataconsec.com
Dott. Domenico Carnicella
d.carnicella@dataconsec.com
24/05/2012 DATACONSEC.COM 20