Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Prof. Massimo Durante
Dipartimento di Giurisprudenza
Università di Torino
massimo.durante@unito.it
Responsabilizzazione e approccio al rischio
 Responsabilità del titolare del trattamento (art. 25)
Par. 1. «Tenuto conto ...
Lineeguida per gli adempimenti
 DPIA/Privacy by design e by default
‐ Art. 29 WP, Statement on the role of a risk‐based a...
Architettura generale delle lineeguida
1. “Good Practice” = generazione di una buona prassi
[organization’s normal managem...
Il «principio» di responsabilizzazione
 Centralità dei titolari e responsabili del 
trattamento nella pluralità di sogget...
Roadmap: ricognizione interna
Ricognizione interna in ordine di importanza:
1. RISORSE (umane ed economiche: viene meno il...
Fasi dell’approccio basato sul rischio
Cinque fasi dell’approccio basato del rischio:
1. Analisi del rischio (risk assessm...
Approccio basato sul rischio
 Rischio > caratteri costitutivi: 
Probabilità: calcolo della possibile occorrenza di un ev...
Approccio basato sul rischio
 Probabilità e gravità del rischio > funzione di:
Risorse: complesso degli assets (obiettiv...
Criteri di valutazione dell’adempimento
 Approccio basato sul rischio (non‐compliance): 
1. Inadempimenti formali
2. Non ...
Conclusioni
 L’approccio basato sul rischio inteso come forma di 
“real protection on the ground” costituisce la 
miglior...
Alla prossima… 
Upcoming SlideShare
Loading in …5
×

L'approccio al rischio e il principio di responsabilizzazione - Massimo Durante, Dipartimento di Giurisprudenza dell'Università di Torino

318 views

Published on

Materiali presentati al workshop "Comuni piemontesi attrezzati per il GDPR - Istruzioni per l'uso" organizzato da Regione Piemonte con CSI Piemonte

Published in: Technology
  • Be the first to comment

L'approccio al rischio e il principio di responsabilizzazione - Massimo Durante, Dipartimento di Giurisprudenza dell'Università di Torino

  1. 1. Prof. Massimo Durante Dipartimento di Giurisprudenza Università di Torino massimo.durante@unito.it
  2. 2. Responsabilizzazione e approccio al rischio  Responsabilità del titolare del trattamento (art. 25) Par. 1. «Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle  finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i  diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto  misure tecniche e organizzative adeguate per garantire, ed essere in grado di  dimostrare, che il trattamento è effettuato conformemente al presente  regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.»  Privacy by design e by default (art. 25)  Registro delle attività di trattamento (art. 30)  Sicurezza del trattamento [misure adeguate] (art. 32)   Notifica delle violazioni di dati personali [data breaches] (art. 33)  Valutazione d’impatto sulla protezione dati [DPIA] (art. 35)  Responsabile per la protezione dei dati [DPO] (art. 37‐39).   
  3. 3. Lineeguida per gli adempimenti  DPIA/Privacy by design e by default ‐ Art. 29 WP, Statement on the role of a risk‐based approach in data protection legal framework, 14/EN 218; ‐ Art. 29 WP, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing  is “likely to result in a high risk”, 17/EN 248;  ‐ Guida all’applicazione del Regolamento, Garante Privacy ‐ ISO/IEC 29134 ‐ Information technology – Security techniques – Guidelines for PIA; ‐ CNIL [Commission Nationale de l’Informatique et des Libertés] – DPIA – PIA   ‐ ICO [Information Commissioner’s Office] – Conducting privacy impact assessment – code of conduct   ‐ ISO 31000 – Gestione del rischio ‐ Principi e linee guida ‐ ENISA [European Union Agency for Network and Information Security] Privacy and Data Protection by  Design, 2015  Misure di sicurezza ‐ ISO/IEC 27001‐ Tecnologia delle informazioni ‐ Tecniche di sicurezza ‐ Sistemi di gestione della sicurezza  delle informazioni ‐ Requisiti ‐ ISO/IEC 27005 ‐ Information technology – Security techniques – Information security risk management ‐ NIST [National Institute of Standards and Technology] Special Publication 800‐53, Security and Privacy  Controls for Federal Information Systems and Organization  Registro dei trattamenti  DPO ‐ Art. 29 WP Guidelines on Data Protection officer 16/EN WP 243
  4. 4. Architettura generale delle lineeguida 1. “Good Practice” = generazione di una buona prassi [organization’s normal management process]; 2. “Self‐description and balancing model” = identificazione dei flussi informativi e del livello di prevenzione dei rischi in  rapporto agli obiettivi (servizi/beni) da assicurare (con  conseguente accettazione, riduzione, eliminazione dei rischi); 3. “Internal and External Consultation” = coinvolgimento all’interno e all’esterno dell’impresa/ente di tutti i soggetti coinvolti e interessati (stakeholders);  4. “Business model” = non c’è compliance senza un modello di  business relativo alla sostenibilità dei costi della compliance; 5. “Publishing model” = la pubblicazione delle misure intraprese incrementa trasparenza e accountability, rafforza la fiducia,  genera efficienza e produce maggiore condivisione. 
  5. 5. Il «principio» di responsabilizzazione  Centralità dei titolari e responsabili del  trattamento nella pluralità di soggetti coinvolti;  Criterio d’interpretazione: criterio non formale;  adempimenti vs. strumenti per l’adempimento;  Attuazione del GDPR come “generatore di prassi”;  Dinamicità nell’attuazione del GDPR: il soggetto interessato; dai dati comuni ai dati sensibili;  Lineeguida, standards, checklist > roadmap;  Presupposti della roadmap: ricognizione interna. 
  6. 6. Roadmap: ricognizione interna Ricognizione interna in ordine di importanza: 1. RISORSE (umane ed economiche: viene meno il paradigma della gestione a risorse invariate)  2. COMPETENZE (formazione del personale) 3. INFRASTRUTTURE (informatiche/documentali) 4. DATI (tipologie di dati per ciascun trattamento:  qualità dei dati = accuratezza e aggiornamento) 5. TRATTAMENTI (differenti tipologie di  trattamenti di dati per ciascun ambito) 
  7. 7. Fasi dell’approccio basato sul rischio Cinque fasi dell’approccio basato del rischio: 1. Analisi del rischio (risk assessment) > ricognizione interna 2. Prevenzione del rischio (risk prevention) > DPIA (rischio “elevato” = 9 criteri WP [profili sogg./ogg.] > regola del 2)  3. Gestione del rischio (risk management): ‐ misure tecniche e organizzative adeguate ex art. 24 > compliance e verificabilità ‐ misure tecniche e organizzative adeguate ex art. 32 > livello di sicurezza (“tenendo conto dello stato dell’arte e dei costi di attuazione”) 1. Trasferimento del rischio (risk transfer) 2. Trasformazione costi in opportunità (cost‐benefit analysis):  minimizzazione di costi futuri;  buon andamento e trasparenza della P.A.;   migliore erogazione di beni e servizi. 
  8. 8. Approccio basato sul rischio  Rischio > caratteri costitutivi:  Probabilità: calcolo della possibile occorrenza di un evento; Gravità: quantificazione delle conseguenze negative derivanti  dall’evento misurate in termini di:   1) entità del danno;   2) capacità di resilienza;  Rischio > valutazione oggettiva in base a (considerando 76):   Nature: natura dei dati (comuni o sensibili);  Scope: ambito di applicazione;   Context: contesto;  Purpose: finalità del trattamento.
  9. 9. Approccio basato sul rischio  Probabilità e gravità del rischio > funzione di: Risorse: complesso degli assets (obiettivi e  strumenti di gestione dei rischi): risorse  informatiche; tecniche; economiche; umane; Minacce: complesso degli attacchi: relativi alle  diverse tipologie di trattamenti, di dati e di  soggetti coinvolti; Vulnerabilità: complesso dei punti di attacco:  sistema; persone. 
  10. 10. Criteri di valutazione dell’adempimento  Approccio basato sul rischio (non‐compliance):  1. Inadempimenti formali 2. Non verificabilità degli adempimenti 3. Mancanza di dotazione di risorse 4. Mancanza di un sistema di monitoraggio/aggiornamento  Approccio basato sui diritti (violazione/danno): 1. Violazione dei diritti o delle libertà delle persone fisiche
  11. 11. Conclusioni  L’approccio basato sul rischio inteso come forma di  “real protection on the ground” costituisce la  migliore strategia per: 1. Generare una prassi “compliant”: conforme con  quanto richiesto dal GDPR in base al principio di  responsabilizzazione; 2. Ridurre la possibilità di dare luogo ad una violazione dei diritti e delle libertà delle persone e fornire la migliore difesa possibile in caso di  tale violazione (possibile prova liberatoria). 
  12. 12. Alla prossima… 

×