EuroPrivacy, profile picture
Uploaded byEuroPrivacy
PDF, PPTX1,666 views

La sicurezza nel regolamento 679/2016 (GDPR)

Il documento discute la sicurezza nel contesto del GDPR, evidenziando l'importanza delle misure tecniche e organizzative adeguate per proteggere i dati personali. Sottolinea la necessità di analisi dei rischi e l'implementazione di pratiche di sicurezza informatica per tutelare i diritti e le libertà delle persone fisiche. Viene infine enfatizzata l'importanza della documentazione e del miglioramento continuo per dimostrare la conformità alle normative.

Embed presentation

Download as PDF, PPTX
La sicurezza nel GDPR: dall'analisi dei rischi alla disclosure dei data breach. Alessandro Vallega - Europrivacy, Clusit, Oracle Il nuovo regolamento europeo in materia di trattamento dati personali: gli elementi di maggiore rilevanza 17 gennaio 2017, Milano EUROPRIVACY.INFO @EUROPRIVACY
@EUROPRIVACY SICUREZZA 32 DEL GDPR misure tecniche e organizzative adeguate
@EUROPRIVACY SICUREZZA 32 DEL GDPR misure tecniche e organizzative adeguate 5 - Principi applicabili al trattamento 24 - Responsabilità del titolare del trattamento 25 - Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 28 - Responsabile del trattamento (OBBLIGO) 34 - Comunicazione di una violazione dei dati personali all'interessato (OPPOR.) 83 - Condizioni generali per infliggere sanzioni amministrative pecuniarie
@EUROPRIVACY Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
@EUROPRIVACY Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. MISURE ADEGUATE
@EUROPRIVACY ADEGUATO AL RISCHIO Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. MISURE ADEGUATE
@EUROPRIVACY Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. EVOLUZIONE TECNOLOGICA ADEGUATO AL RISCHIO MISURE ADEGUATE
@EUROPRIVACY Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. COSTO DELLE MISURE EVOLUZIONE TECNOLOGICA ADEGUATO AL RISCHIO MISURE ADEGUATE
@EUROPRIVACY Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. DI NUOVO IL RISCHIO COSTO DELLE MISURE EVOLUZIONE TECNOLOGICA ADEGUATO AL RISCHIO MISURE ADEGUATE
@EUROPRIVACY Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. A TITOLO DI ESEMPIO DI NUOVO IL RISCHIO COSTO DELLE MISURE EVOLUZIONE TECNOLOGICA ADEGUATO AL RISCHIO MISURE ADEGUATE
@EUROPRIVACY Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 1 TECNOLOGIA A TITOLO DI ESEMPIO DI NUOVO IL RISCHIO COSTO DELLE MISURE EVOLUZIONE TECNOLOGICA ADEGUATO AL RISCHIO MISURE ADEGUATE
@EUROPRIVACY Art 32.1 Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 1 TECNOLOGIA A TITOLO DI ESEMPIO DI NUOVO IL RISCHIO COSTO DELLE MISURE EVOLUZIONE TECNOLOGICA ADEGUATO AL RISCHIO MISURE ADEGUATE REQUISITI
@EUROPRIVACY Art 32.2 Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Art 32.3 L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. Art. 32.4 Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri ANCORA REQUISITIANCORA REQUISITICODICI DI CONDOTTACERTIFICA- ZIONI
@EUROPRIVACY SICUREZZA 32 DEL GDPR REQUISITI DI NUOVO IL RISCHIO ADEGUATO AL RISCHIO MISURE ADEGUATE ANCORA REQUISITIANCORA REQUISITI CODICI DI CONDOTTA CERTIFICA- ZIONE REQUISITI REQUISITI 1 TECNOLOGIA A TITOLO DI ESEMPIO COSTO DELLE MISURE EVOLUZIONE TECNOLOGICA
@EUROPRIVACY SICUREZZA 32 DEL GDPR 1. Bisogna fare l’analisi del rischio3. Abbiamo chiari i requisiti ma non le soluzioni 2. Bisogna conoscere la tecnologia di sicurezza
@EUROPRIVACY Come ci aiuteranno le certificazioni e i codici di condotta? Cosa ci chiederanno l’ispettore del Garante e il perito del tribunale in merito alle misure di sicurezza?
@EUROPRIVACY Loro faranno riferimento ad alcune best practices di sicurezza come: • Strong / Multilevel / Federated Authentication • Adaptive / Fine Grained Access Control / Authorization • Segregation of Duties • Need to Know / Least Privilege • Accountability / Log Management • Encryption • Anonymization and Pseudinymization • Segregation of Environment • Secure Configuration Management • Hardening • Attestation & Role Management
@EUROPRIVACY Noi purtroppo sappiamo che c’è ampio margine di miglioramento nei nostri reparti IT • Password di gruppo e condivise • Ampio accesso a produzione, tollerato o previsto • Copie di produzione per sviluppo e test • Nessun log o scarso e inefficace, nessuna analisi e alerting • Niente patching e sistemi operativi obsoleti • Privilegi eccessivi degli account • Nessuna cifratura • Assente controllo accessi • Gestione frammentaria dell’identità • Scarsa separazione dei compiti, delle reti e degli ambienti Il rapporto Clusit sulla Sicurezza ICT in Italia ne descrive gli effetti e le cause. Nell’edizione del 2016 abbiamo descritto i “Most Common Mistakes” della gestione dei dati nei DBMS
@EUROPRIVACY DOCUMENTARE IL PROCESSO DI MIGLIORAMENTO E TENERNE SCRUPOLOSA TRACCIA PER POTER DIMOSTRARE LA CONFORMITA’ (ART. 24) TENEREIL“REGISTRODEITRATTAMENTI” (ART.30) IDENTIFICAZIONEDELLE APPLICAZIONIEDEI DATABASE GESTIRE LE IDENTITA’ PROTEGGERE I DATI ADEGUARE IL PROCESSO DI GESTIONE DEGLI INCIDENTI (NOTIFICA E COMUNICAZIONE DELLE VIOLAZIONI ART. 33 / 34) • INTEGRARE LO ISMS AZIENDALE (INFORMATION SECURITY MANAGEMENT SYSTEM) FARE L’ANALISI DEI RISCHI (E FARE LA VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI ART.35) • CONTROLLARE I PROFILI AUTORIZ- ZATIVI DEGLI UTENTI / IT E ADMIN • IMPORRE IL PRINCIPIO DEL “NEED TO KNOW” • GESTIRE REPOSITORY DI IDENTITA’ ON PREMISE E NEL CLOUD • RACCOGLIERE E ANALIZZARE I LOG • INTEGRARE IL SISTEMA AZIENDALE DI GESTIONE DEI RISCHI • CIFRARE I DATI (ART 32) • MASCHERARE I DATI (CONSID. 26) Da dove iniziare per rimediare?
@EUROPRIVACY DOCUMENTARE IL PROCESSO DI MIGLIORAMENTO E TENERNE SCRUPOLOSA TRACCIA PER POTER DIMOSTRARE LA CONFORMITA’ (ART. 24) TENEREIL“REGISTRODEITRATTAMENTI” (ART.30) IDENTIFICAZIONEDELLE APPLICAZIONIEDEI DATABASE GESTIRE LE IDENTITA’ PROTEGGERE I DATI ADEGUARE IL PROCESSO DI GESTIONE DEGLI INCIDENTI (NOTIFICA E COMUNICAZIONE DELLE VIOLAZIONI ART. 33 / 34) • INTEGRARE LO ISMS AZIENDALE (INFORMATION SECURITY MANAGEMENT SYSTEM) FARE L’ANALISI DEI RISCHI (E FARE LA VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI ART.35) • CONTROLLARE I PROFILI AUTORIZZATIVI UTENTI / IT E ADMIN • IMPORRE IL PRINCIPIO DEL “NEED TO KNOW” • GESTIRE REPOSITORY DI IDENTITA’ ON PREMISE E NEL CLOUD • RACCOGLIERE E ANALIZZARE I LOG • INTEGRARE IL SISTEMA AZIENDALE DI GESTIONE DEI RISCHI • CIFRARE I DATI (ART 32) • MASCHERARE I DATI (CONSID. 26) Da dove iniziare per rimediare? ALCUNE DELLE MISURE TECNICHE ADEGUATE ALCUNE DELLE MISURE ORGANIZZATIVE ADEGUATE
@EUROPRIVACY Approfittiamo del GDPR per fare meglio l’IT
@EUROPRIVACY Approfittiamo del GDPR per fare meglio l’IT e grazie per l’attenzione Alessandro Vallega LinkedIn Twitter U3L4 alessandro.vallega@oracle.com www.europrivacy.info Disclaimer: Lavoro in Oracle ma le opinioni espresse in questa presentazione sono le mie...

More Related Content

PDF
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
byAndrea Ballandino
 
PDF
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
byAndrea Maggipinto [+1k]
 
PDF
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
byAdriano Bertolino
 
PDF
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
byEuroPrivacy
 
PDF
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
byEuroPrivacy
 
PDF
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
byEuroPrivacy
 
PDF
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
byAndrea Maggipinto [+1k]
 
PDF
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
byPaolo Calvi
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
byAndrea Ballandino
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
byAndrea Maggipinto [+1k]
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
byAdriano Bertolino
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
byEuroPrivacy
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
byEuroPrivacy
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
byEuroPrivacy
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
byAndrea Maggipinto [+1k]
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
byPaolo Calvi
 

What's hot

PDF
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
byEuroPrivacy
 
PDF
Presentazione Avvocato Rinaldi padova 2018
byMarco Turolla
 
PDF
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
byAndrea Maggipinto [+1k]
 
PPTX
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
byBarbieri & Associati Dottori Commercialisti - Bologna
 
PDF
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
byPar-Tec S.p.A.
 
PPTX
Privacy e Trattamento dei Dati Personali
byGiacomo Giovanelli
 
PPT
Diritto & sicurezza informatica
byCouncil of Europe
 
PDF
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
byEuroPrivacy
 
PDF
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
byAmmLibera AL
 
PDF
SMAU Milano 2017 - Conformità GDPR
byTalea Consulting Srl
 
PPTX
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
byAlessio Farina
 
PDF
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
byCSI Piemonte
 
PDF
Smau Milano 2016 - Marco Parretti, Aipsi
bySMAU
 
PDF
Privacy e videosorveglianza.
byRoberta Rapicavoli
 
PDF
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
byCSI Piemonte
 
PDF
Sicurezza informatica per le professioni legali
byRaffaella Brighi
 
PDF
GDPR Navigator La soluzione per le PMI
byRoberto Lorenzetti
 
PDF
Privacy negli studi legali
byRoberta Rapicavoli
 
PDF
Slide webinar SUPSI GDPR
byMaurilio Savoldi
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
byEuroPrivacy
 
Presentazione Avvocato Rinaldi padova 2018
byMarco Turolla
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
byAndrea Maggipinto [+1k]
 
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
byBarbieri & Associati Dottori Commercialisti - Bologna
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
byPar-Tec S.p.A.
 
Privacy e Trattamento dei Dati Personali
byGiacomo Giovanelli
 
Diritto & sicurezza informatica
byCouncil of Europe
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
byEuroPrivacy
 
La strategia e le azioni AgID per la gestione della sicurezza informatica del...
byAmmLibera AL
 
SMAU Milano 2017 - Conformità GDPR
byTalea Consulting Srl
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
byAlessio Farina
 
I Comuni e la DPIA - Marco Cuniberti, Circolo Giuristi Telematici
byCSI Piemonte
 
Smau Milano 2016 - Marco Parretti, Aipsi
bySMAU
 
Privacy e videosorveglianza.
byRoberta Rapicavoli
 
Registro dei trattamenti, data breach, DPO interno - Enzo Veiluva DPO CSI Pie...
byCSI Piemonte
 
Sicurezza informatica per le professioni legali
byRaffaella Brighi
 
GDPR Navigator La soluzione per le PMI
byRoberto Lorenzetti
 
Privacy negli studi legali
byRoberta Rapicavoli
 
Slide webinar SUPSI GDPR
byMaurilio Savoldi
 

Similar to La sicurezza nel regolamento 679/2016 (GDPR)

PDF
Convegno- workshop Territoriale Anorc Professioni Veneto
byANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
PDF
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
byDigital Law Communication
 
PPTX
2 fornaro fiera del levante sicurezza gdp r
byRedazione InnovaPuglia
 
PDF
GDPR - WP29, linee guida
byOrdine Ingegneri Lecco
 
PPTX
Giulio Vada G Data - SMAU Milano 2017
bySMAU
 
PDF
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
byUnione Parmense degli Industriali
 
PDF
Franco Cardin - SMAU Padova 2017
bySMAU
 
PPTX
Il dato è tratto - Eurosystem e Nordest Servizi
byEurosystem S.p.A.
 
PPTX
2 GLI ADEMPIMENTI PREVISTI DAL GDPR PRIVACY - IL DPO.pptx
byfederimpreseitaliana
 
PDF
Smau Bologna | R2B 2019 Davide Erriquez
bySMAU
 
PPTX
GDPR - Sicurezza informatica
byM2 Informatica
 
PDF
GDPR e sicurezza infoirmatica
byM2 Informatica
 
PDF
Smau Milano 2016 - Monica Gobbato
bySMAU
 
PDF
Smau Bologna 2016 - Aipsi, Marco Parretti
bySMAU
 
PDF
Presentazione Avvocato Rinaldi smau padova 2018
bymobi-TECH
 
PDF
Smau Milano 2016 - CSIG - Sanità
bySMAU
 
PDF
Smau 2016 Fascicolo sanitario elettronico e protezione dati personali
byMauro Alovisio
 
PDF
2018-06-07 Security Summit Roma
byuninfoit
 
PDF
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
byColin & Partners Srl
 
PPTX
Able Tech - SMAU Milano 2017
bySMAU
 
Convegno- workshop Territoriale Anorc Professioni Veneto
byANORC - Associazione Nazionale per Operatori e Responsabili della Conservazione Digitale
 
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
byDigital Law Communication
 
2 fornaro fiera del levante sicurezza gdp r
byRedazione InnovaPuglia
 
GDPR - WP29, linee guida
byOrdine Ingegneri Lecco
 
Giulio Vada G Data - SMAU Milano 2017
bySMAU
 
Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Inte...
byUnione Parmense degli Industriali
 
Franco Cardin - SMAU Padova 2017
bySMAU
 
Il dato è tratto - Eurosystem e Nordest Servizi
byEurosystem S.p.A.
 
2 GLI ADEMPIMENTI PREVISTI DAL GDPR PRIVACY - IL DPO.pptx
byfederimpreseitaliana
 
Smau Bologna | R2B 2019 Davide Erriquez
bySMAU
 
GDPR - Sicurezza informatica
byM2 Informatica
 
GDPR e sicurezza infoirmatica
byM2 Informatica
 
Smau Milano 2016 - Monica Gobbato
bySMAU
 
Smau Bologna 2016 - Aipsi, Marco Parretti
bySMAU
 
Presentazione Avvocato Rinaldi smau padova 2018
bymobi-TECH
 
Smau Milano 2016 - CSIG - Sanità
bySMAU
 
Smau 2016 Fascicolo sanitario elettronico e protezione dati personali
byMauro Alovisio
 
2018-06-07 Security Summit Roma
byuninfoit
 
La tutela della privacy e delle informazioni diviene europea. Quali gli impat...
byColin & Partners Srl
 
Able Tech - SMAU Milano 2017
bySMAU
 

More from EuroPrivacy

PDF
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
byEuroPrivacy
 
PDF
Europrivacy Guasconi il dpo e gli schemi di certificazione
byEuroPrivacy
 
PPTX
Meeting with the sponsors (Nov 25th, 2016) - plan
byEuroPrivacy
 
PPTX
Meeting with the sponsors (Nov 25th, 2016) - status
byEuroPrivacy
 
PDF
#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...
byEuroPrivacy
 
PDF
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
byEuroPrivacy
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
byEuroPrivacy
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
byEuroPrivacy
 
Meeting with the sponsors (Nov 25th, 2016) - plan
byEuroPrivacy
 
Meeting with the sponsors (Nov 25th, 2016) - status
byEuroPrivacy
 
#Ready4EUdataP Il GDPR: obbiettivi, innovazioni, compromessi, Cosimo Comella,...
byEuroPrivacy
 
#Ready4EUdataP Data Processor: nuove responsabilità per i fornitori di serviz...
byEuroPrivacy
 

La sicurezza nel regolamento 679/2016 (GDPR)

  • 1.
    La sicurezza nelGDPR: dall'analisi dei rischi alla disclosure dei data breach. Alessandro Vallega - Europrivacy, Clusit, Oracle Il nuovo regolamento europeo in materia di trattamento dati personali: gli elementi di maggiore rilevanza 17 gennaio 2017, Milano EUROPRIVACY.INFO @EUROPRIVACY
  • 2.
  • 3.
    @EUROPRIVACY SICUREZZA 32 DEL GDPR misure tecnichee organizzative adeguate 5 - Principi applicabili al trattamento 24 - Responsabilità del titolare del trattamento 25 - Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 28 - Responsabile del trattamento (OBBLIGO) 34 - Comunicazione di una violazione dei dati personali all'interessato (OPPOR.) 83 - Condizioni generali per infliggere sanzioni amministrative pecuniarie
  • 4.
    @EUROPRIVACY Art 32.1 Tenendoconto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
  • 5.
    @EUROPRIVACY Art 32.1 Tenendoconto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. MISURE ADEGUATE
  • 6.
    @EUROPRIVACY ADEGUATO AL RISCHIO Art 32.1Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. MISURE ADEGUATE
  • 7.
    @EUROPRIVACY Art 32.1 Tenendoconto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. EVOLUZIONE TECNOLOGICA ADEGUATO AL RISCHIO MISURE ADEGUATE
  • 8.
    @EUROPRIVACY Art 32.1 Tenendoconto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. COSTO DELLE MISURE EVOLUZIONE TECNOLOGICA ADEGUATO AL RISCHIO MISURE ADEGUATE
  • 9.
    @EUROPRIVACY Art 32.1 Tenendoconto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. DI NUOVO IL RISCHIO COSTO DELLE MISURE EVOLUZIONE TECNOLOGICA ADEGUATO AL RISCHIO MISURE ADEGUATE
  • 10.
    @EUROPRIVACY Art 32.1 Tenendoconto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. A TITOLO DI ESEMPIO DI NUOVO IL RISCHIO COSTO DELLE MISURE EVOLUZIONE TECNOLOGICA ADEGUATO AL RISCHIO MISURE ADEGUATE
  • 11.
    @EUROPRIVACY Art 32.1 Tenendoconto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 1 TECNOLOGIA A TITOLO DI ESEMPIO DI NUOVO IL RISCHIO COSTO DELLE MISURE EVOLUZIONE TECNOLOGICA ADEGUATO AL RISCHIO MISURE ADEGUATE
  • 12.
    @EUROPRIVACY Art 32.1 Tenendoconto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. 1 TECNOLOGIA A TITOLO DI ESEMPIO DI NUOVO IL RISCHIO COSTO DELLE MISURE EVOLUZIONE TECNOLOGICA ADEGUATO AL RISCHIO MISURE ADEGUATE REQUISITI
  • 13.
    @EUROPRIVACY Art 32.2 Nelvalutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Art 32.3 L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. Art. 32.4 Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri ANCORA REQUISITIANCORA REQUISITICODICI DI CONDOTTACERTIFICA- ZIONI
  • 14.
    @EUROPRIVACY SICUREZZA 32 DEL GDPR REQUISITI DI NUOVOIL RISCHIO ADEGUATO AL RISCHIO MISURE ADEGUATE ANCORA REQUISITIANCORA REQUISITI CODICI DI CONDOTTA CERTIFICA- ZIONE REQUISITI REQUISITI 1 TECNOLOGIA A TITOLO DI ESEMPIO COSTO DELLE MISURE EVOLUZIONE TECNOLOGICA
  • 15.
    @EUROPRIVACY SICUREZZA 32 DEL GDPR 1. Bisognafare l’analisi del rischio3. Abbiamo chiari i requisiti ma non le soluzioni 2. Bisogna conoscere la tecnologia di sicurezza
  • 16.
    @EUROPRIVACY Come ci aiuterannole certificazioni e i codici di condotta? Cosa ci chiederanno l’ispettore del Garante e il perito del tribunale in merito alle misure di sicurezza?
  • 17.
    @EUROPRIVACY Loro faranno riferimentoad alcune best practices di sicurezza come: • Strong / Multilevel / Federated Authentication • Adaptive / Fine Grained Access Control / Authorization • Segregation of Duties • Need to Know / Least Privilege • Accountability / Log Management • Encryption • Anonymization and Pseudinymization • Segregation of Environment • Secure Configuration Management • Hardening • Attestation & Role Management
  • 18.
    @EUROPRIVACY Noi purtroppo sappiamoche c’è ampio margine di miglioramento nei nostri reparti IT • Password di gruppo e condivise • Ampio accesso a produzione, tollerato o previsto • Copie di produzione per sviluppo e test • Nessun log o scarso e inefficace, nessuna analisi e alerting • Niente patching e sistemi operativi obsoleti • Privilegi eccessivi degli account • Nessuna cifratura • Assente controllo accessi • Gestione frammentaria dell’identità • Scarsa separazione dei compiti, delle reti e degli ambienti Il rapporto Clusit sulla Sicurezza ICT in Italia ne descrive gli effetti e le cause. Nell’edizione del 2016 abbiamo descritto i “Most Common Mistakes” della gestione dei dati nei DBMS
  • 19.
    @EUROPRIVACY DOCUMENTARE IL PROCESSODI MIGLIORAMENTO E TENERNE SCRUPOLOSA TRACCIA PER POTER DIMOSTRARE LA CONFORMITA’ (ART. 24) TENEREIL“REGISTRODEITRATTAMENTI” (ART.30) IDENTIFICAZIONEDELLE APPLICAZIONIEDEI DATABASE GESTIRE LE IDENTITA’ PROTEGGERE I DATI ADEGUARE IL PROCESSO DI GESTIONE DEGLI INCIDENTI (NOTIFICA E COMUNICAZIONE DELLE VIOLAZIONI ART. 33 / 34) • INTEGRARE LO ISMS AZIENDALE (INFORMATION SECURITY MANAGEMENT SYSTEM) FARE L’ANALISI DEI RISCHI (E FARE LA VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI ART.35) • CONTROLLARE I PROFILI AUTORIZ- ZATIVI DEGLI UTENTI / IT E ADMIN • IMPORRE IL PRINCIPIO DEL “NEED TO KNOW” • GESTIRE REPOSITORY DI IDENTITA’ ON PREMISE E NEL CLOUD • RACCOGLIERE E ANALIZZARE I LOG • INTEGRARE IL SISTEMA AZIENDALE DI GESTIONE DEI RISCHI • CIFRARE I DATI (ART 32) • MASCHERARE I DATI (CONSID. 26) Da dove iniziare per rimediare?
  • 20.
    @EUROPRIVACY DOCUMENTARE IL PROCESSODI MIGLIORAMENTO E TENERNE SCRUPOLOSA TRACCIA PER POTER DIMOSTRARE LA CONFORMITA’ (ART. 24) TENEREIL“REGISTRODEITRATTAMENTI” (ART.30) IDENTIFICAZIONEDELLE APPLICAZIONIEDEI DATABASE GESTIRE LE IDENTITA’ PROTEGGERE I DATI ADEGUARE IL PROCESSO DI GESTIONE DEGLI INCIDENTI (NOTIFICA E COMUNICAZIONE DELLE VIOLAZIONI ART. 33 / 34) • INTEGRARE LO ISMS AZIENDALE (INFORMATION SECURITY MANAGEMENT SYSTEM) FARE L’ANALISI DEI RISCHI (E FARE LA VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI ART.35) • CONTROLLARE I PROFILI AUTORIZZATIVI UTENTI / IT E ADMIN • IMPORRE IL PRINCIPIO DEL “NEED TO KNOW” • GESTIRE REPOSITORY DI IDENTITA’ ON PREMISE E NEL CLOUD • RACCOGLIERE E ANALIZZARE I LOG • INTEGRARE IL SISTEMA AZIENDALE DI GESTIONE DEI RISCHI • CIFRARE I DATI (ART 32) • MASCHERARE I DATI (CONSID. 26) Da dove iniziare per rimediare? ALCUNE DELLE MISURE TECNICHE ADEGUATE ALCUNE DELLE MISURE ORGANIZZATIVE ADEGUATE
  • 21.
  • 22.
    @EUROPRIVACY Approfittiamo del GDPRper fare meglio l’IT e grazie per l’attenzione Alessandro Vallega LinkedIn Twitter U3L4 alessandro.vallega@oracle.com www.europrivacy.info Disclaimer: Lavoro in Oracle ma le opinioni espresse in questa presentazione sono le mie...