SlideShare a Scribd company logo

Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.

Andrea Ballandino
Andrea Ballandino

Misure di sicurezza nelle operazioni di trattamento. Regolamento UE 2016/679.

Law
1 of 17
SICUREZZA NELLE OPERAZIONI DI TRATTAMENTO REGOLAMENTO UE 2016/679 dott. Andrea Ballandino Consulente Privacy, libero professionista.
Regolamento UE 2016/679 Articolo 32 Sicurezza del trattamento 1.  tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
Regolamento UE 2016/679 Articolo 32 Sicurezza del trattamento a)  pseudoanonimizzazione e cifratura •  creare degli pseudonimi dei dati; •  la cifratura non è una misura “nuova”…... (rif. d.lgs.196/2003)*; •  pseudoanonimizzazione e cifratura: da valutare caso per caso i rischi e attuare dette misure per limitare i rischi; •  effettuare prima l’analisi dei rischi e poi prevedere in base all’analisi misure di pseudoanonimizzazione e cifratura. *Provvedimento 8 aprile 2010 .....f) la trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di videosorveglianza deve essere effettuata previa applicazione di tecniche crittografiche che ne garantiscano la riservatezza; le stesse cautele sono richieste per la trasmissione di immagini da punti di ripresa dotati di connessioni wireless (tecnologie wi- fi, wi-max, Gprs). …..
Regolamento UE 2016/679 Articolo 32 Sicurezza del trattamento b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; resilienza: capacità di reazione di un sistema a fronte di eventi che mettono a rischio la sicurezza dei dati trattati dallo stesso. c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; tempestivamente vs non superiori a sette giorni punto 23 Allegato B al d.lgs.196/2003 ….. 23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni……
Regolamento UE 2016/679 Articolo 32 Sicurezza del trattamento d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”. à AUDIT à ACCOUNTABILITY Prima invece le procedure…. d.lgs.19/2003 – Art. 34 comma-1 lett b) adozione di procedure di gestione delle credenziali di autenticazione. d.lgs.19/2003 – Art. 34 comma-1 lett f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi.
Regolamento UE 2016/679 Articolo 32 Sicurezza del trattamento 2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Prendiamo la definizione di misure idonee (o adeguate) dal d.lgs.196/2003 Art. 31. Obblighi di sicurezza 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. IL LIVELLO DI SICUREZZA E’ ADEGUATO QUANDO PERMETTE DI MINIMIZZARE I RISCHI DI •  distruzione; •  perdita totale o parziale; •  accesso non autorizzato; •  trattamento non consentito o non conforme alle finalità della raccolta dei dati personali;
Regolamento UE 2016/679 Articolo 32 Sicurezza del trattamento 3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. Mediante l’adesione a codici di condotta o meccanismi di certificazione si può dimostrare la conformità ai requisiti del paragrafo 1.
Regolamento UE 2016/679 Articolo 32 Sicurezza del trattamento 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri. Il titolare e il responsabile devono assicurare che chiunque tratti dati in nome e per conto del titolare agisca mediante istruzioni precise su come trattare gli stessi. Come devono agire titolare e responsabile? •  istruzioni operative a chi tratta i dati (meglio scritte, controfirmate e comprese); •  istruzioni operative a chi tratta i dati in merito a specifici trattamenti (es. marketing, videosorveglianza ecc.); •  formazione delle figure previste dalla norma. Il principio è….. …..non posso dire che sbagli se non ti dico che cosa è giusto/sbagliato fare…..
COME POSSIAMO CONTINUARE A MANTENERE SICURI I NOSTRI DATI?
MANTENERE SICURI I NOSTRI DATI Autenticazione a 2 fattori Cifratura dei dischi Trasmissione sicura dei dati Applicativi Sicuri
MANTENERE SICURI I NOSTRI DATI AUTENTICAZIONE A 2 FATTORI “…quello che ho in testa unito a quello che ho in tasca….” •  token; •  telefono cellulare e sms; •  chiavetta usb con funzionalità avanzate.
MANTENERE SICURI I NOSTRI DATI CRITTOGRAFIA DEI DISCHI/CHIAVETTE MAC OSX: Filevault; WINDOWS: Bitlocker o altri sistemi di crittografia; CHIAVETTE/HARD DISK ESTERNI: VERACRYPT (per OSX, WIN e LINUX). Esistono tool che permettono di forzare l’account personale di macchina in sistemi non crittografati, es. Konboot e Ultimate Boot CD. Koonboot per Windows e OSX; http://www.piotrbania.com/all/kon-boot/
MANTENERE SICURE LE NOSTRE RETI •  autenticazione dei servizi offerti/applicativi; •  nascondere il nome della rete*; •  password di accesso robusta*; •  tecniche crittografiche di trasmissione dei dati*; •  accesso in funzione del mac-address*; •  evitare condivisioni con i sistemi aziendali se non di pertinenza (es. reti wi-fi guest)*; •  separare il traffico di rete. *nello specifico per reti wi-fi.
TRASMISSIONE SICURA DEI DATI Possibilità di rendere sicure le comunicazioni all’interno di una rete locale oppure fra reti geografiche private e pubbliche in internet. VARIE CASISTICHE •  connettività sicura delle sedi locali via internet; •  accesso remoto sicuro via internet; •  attivazione di connettività extranet e intranet con i fornitori.
TRASMISSIONE SICURA DEI DATI HTTPS Interazione del protocollo HTTP con lo strato sicuro di comunicazione fornito da SSL (standard internet denominato poi TLS). Viene creato un canale di comunicazione criptato attraverso lo scambio di certificati. SSL provvede alla sicurezza del collegamento garantendo •  autenticazione delle identità; •  confidenzialità delle informazioni trattate; •  integrità dei dati inviati/ricevuti.
PGP APPLICATIVI SICURI •  E’ possibile assicurare sicurezza, segretezza e integrità dei dati trasmessi a livello applicativo; •  Le nostre email transitano tra vari server ed è possibile ricostruire il percorso delle stesse e avere delle “copie”; •  PGP (Pretty Good Privacy) è un software per la gestione di documenti cifrati/autenticati basato su un approccio ibrido (crittografia asimmetrica + simmetrica); •  PGP è diventato prodotto commerciale (http://www.pgp.com); •  la versione free più utilizzata è GPG (GNU Privacy Guard).
GRAZIE DELL’ATTENZIONE ????????? ????????

Recommended

La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)
EuroPrivacy
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Adriano Bertolino
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
EuroPrivacy
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
Paolo Calvi
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
Andrea Maggipinto [+1k]
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Par-Tec S.p.A.
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
EuroPrivacy
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
M2 Informatica
 

Recommended

La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)La sicurezza nel regolamento 679/2016 (GDPR)
La sicurezza nel regolamento 679/2016 (GDPR)
EuroPrivacy
 
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Privacy by Design nel Regolamento UE 2016/679 (GDPR)
Adriano Bertolino
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
EuroPrivacy
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
Paolo Calvi
 
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
L'industria nell'occhio del ciclone (digitale), tra attacchi cyber ed esigenz...
Andrea Maggipinto [+1k]
 
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Forum ICT Security 2016 - Regolamento EU 2016/679: le tecnologie a protezione...
Par-Tec S.p.A.
 
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
#Ready4EUdataP Privacy by Design: effetti pratici sui sistemi IT Giancarlo Butti
EuroPrivacy
 
GDPR - Sicurezza informatica
GDPR - Sicurezza informaticaGDPR - Sicurezza informatica
GDPR - Sicurezza informatica
M2 Informatica
 
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
EuroPrivacy
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018
Marco Turolla
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
EuroPrivacy
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Andrea Maggipinto [+1k]
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
EuroPrivacy
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
M2 Informatica
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Andrea Maggipinto [+1k]
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
Talea Consulting Srl
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
Jürgen Ambrosi
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
M2 Informatica
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
M2 Informatica
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
Roberto Lorenzetti
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
Alessio Farina
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealth
Adriano Bertolino
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPR
Maurilio Savoldi
 
GDPR
GDPRGDPR
GDPR
Pasquale Tarallo
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
M2 Informatica
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
Roberta Rapicavoli
 
Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazione
EuroPrivacy
 
GDPR Tutorial - 5 Dalla privacy alla sicurezza
GDPR Tutorial - 5 Dalla privacy alla sicurezza GDPR Tutorial - 5 Dalla privacy alla sicurezza
GDPR Tutorial - 5 Dalla privacy alla sicurezza
Massimo Carnevali
 
FORUM PRIVACY E IMPRESA
FORUM PRIVACY E IMPRESAFORUM PRIVACY E IMPRESA
FORUM PRIVACY E IMPRESA
Salomone & Travaglia Studio Legale
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
EuroPrivacy
 

More Related Content

What's hot

4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
Jürgen Ambrosi
 

What's hot (18)

#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
#Ready4EUdataP Data Protection Officer, consigli all’uso e certificazioni Bia...
 
Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018Presentazione Avvocato Rinaldi padova 2018
Presentazione Avvocato Rinaldi padova 2018
 
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
#Ready4EUdataP Enrico Toso Misure di Sicurezza e Risk Management nel GDPR
 
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
 
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
#Ready4EUdataP Profilazione versus Anonimizzazione Stefano Tagliabue
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
Slide seminario avvocato Maggipinto (privacy by design) estratto 10.3.2016
 
SMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPRSMAU Milano 2017 - Conformità GDPR
SMAU Milano 2017 - Conformità GDPR
 
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
4° Sessione Oracle - CRUI: Data Security and GDPR - How to protect our data a...
 
GDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy EuropeoGDPR - Il nuovo regolamento Privacy Europeo
GDPR - Il nuovo regolamento Privacy Europeo
 
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
La nuova normativa privacy: GDPR 679/2016 e Decreto Legislativo 101/2018
 
GDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMIGDPR Navigator La soluzione per le PMI
GDPR Navigator La soluzione per le PMI
 
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
GDPR. Il nuovo regolamento sulla privacy in vigore dal 2018 dal puto di vista...
 
Privacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealthPrivacy by design in sanità - GDPR e GNUHealth
Privacy by design in sanità - GDPR e GNUHealth
 
Slide webinar SUPSI GDPR
Slide webinar SUPSI GDPRSlide webinar SUPSI GDPR
Slide webinar SUPSI GDPR
 
GDPR
GDPRGDPR
GDPR
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
 
Privacy negli studi legali
Privacy negli studi legaliPrivacy negli studi legali
Privacy negli studi legali
 

Viewers also liked

Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stella
gmrinaldi
 

Viewers also liked (20)

Europrivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazioneEuroprivacy Guasconi il dpo e gli schemi di certificazione
Europrivacy Guasconi il dpo e gli schemi di certificazione
 
GDPR Tutorial - 5 Dalla privacy alla sicurezza
GDPR Tutorial - 5 Dalla privacy alla sicurezza GDPR Tutorial - 5 Dalla privacy alla sicurezza
GDPR Tutorial - 5 Dalla privacy alla sicurezza
 
FORUM PRIVACY E IMPRESA
FORUM PRIVACY E IMPRESAFORUM PRIVACY E IMPRESA
FORUM PRIVACY E IMPRESA
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
GDPR Tutorial - 2 Considerazioni generali - seconda parte
GDPR Tutorial - 2 Considerazioni generali - seconda parteGDPR Tutorial - 2 Considerazioni generali - seconda parte
GDPR Tutorial - 2 Considerazioni generali - seconda parte
 
I vantaggi del Nuovo Regolamento Europeo Privacy - di Monica Gobbato- festiva...
I vantaggi del Nuovo Regolamento Europeo Privacy - di Monica Gobbato- festiva...I vantaggi del Nuovo Regolamento Europeo Privacy - di Monica Gobbato- festiva...
I vantaggi del Nuovo Regolamento Europeo Privacy - di Monica Gobbato- festiva...
 
Il nuovo regolamento europeo sulla privacy
Il nuovo regolamento europeo sulla privacyIl nuovo regolamento europeo sulla privacy
Il nuovo regolamento europeo sulla privacy
 
IL REGOLAMENTO UE SULLA PRIVACY
IL REGOLAMENTO UE SULLA PRIVACYIL REGOLAMENTO UE SULLA PRIVACY
IL REGOLAMENTO UE SULLA PRIVACY
 
GDPR Tutorial - 4 Consenso, informativa, dati e sanzioni
GDPR Tutorial - 4 Consenso, informativa, dati e sanzioni GDPR Tutorial - 4 Consenso, informativa, dati e sanzioni
GDPR Tutorial - 4 Consenso, informativa, dati e sanzioni
 
GDPR Tutorial - 6 Il responsabile della protezione dei dati
GDPR Tutorial - 6 Il responsabile della protezione dei dati GDPR Tutorial - 6 Il responsabile della protezione dei dati
GDPR Tutorial - 6 Il responsabile della protezione dei dati
 
GDPR Tutorial - 8 Violazioni dei dati e valutazione d’impatto
GDPR Tutorial - 8 Violazioni dei dati e valutazione d’impatto GDPR Tutorial - 8 Violazioni dei dati e valutazione d’impatto
GDPR Tutorial - 8 Violazioni dei dati e valutazione d’impatto
 
GDPR Tutorial - 10 Ulteriori elementi
GDPR Tutorial - 10 Ulteriori elementiGDPR Tutorial - 10 Ulteriori elementi
GDPR Tutorial - 10 Ulteriori elementi
 
GDPR Tutorial - 9 Diritti dell’utente
GDPR Tutorial - 9 Diritti dell’utenteGDPR Tutorial - 9 Diritti dell’utente
GDPR Tutorial - 9 Diritti dell’utente
 
GDPR Tutorial - 12 Il percorso dell’azienda verso la conformità
GDPR Tutorial - 12 Il percorso dell’azienda verso la conformitàGDPR Tutorial - 12 Il percorso dell’azienda verso la conformità
GDPR Tutorial - 12 Il percorso dell’azienda verso la conformità
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stella
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
 
GDPR Tutorial - 7 Registri e protezione dei dati
GDPR Tutorial - 7 Registri e protezione dei dati GDPR Tutorial - 7 Registri e protezione dei dati
GDPR Tutorial - 7 Registri e protezione dei dati
 
GDPR Tutorial - 11 Impatto sulle aziende
GDPR Tutorial - 11 Impatto sulle aziendeGDPR Tutorial - 11 Impatto sulle aziende
GDPR Tutorial - 11 Impatto sulle aziende
 
Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017 Regolamento privacy 2016 convegno asspricom 9.01.2017
Regolamento privacy 2016 convegno asspricom 9.01.2017
 
GDPR Tutorial - 1 Considerazioni generali - prima parte
GDPR Tutorial - 1 Considerazioni generali - prima parteGDPR Tutorial - 1 Considerazioni generali - prima parte
GDPR Tutorial - 1 Considerazioni generali - prima parte
 

Similar to Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.

Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridica
Council of Europe
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
Polaris informatica
 
Cyber security ai tempi delle reti OT: dalla data protection alla data defence.
Cyber security ai tempi delle reti OT: dalla data protection alla data defence.Cyber security ai tempi delle reti OT: dalla data protection alla data defence.
Cyber security ai tempi delle reti OT: dalla data protection alla data defence.
Andrea Maggipinto [+1k]
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informatica
Council of Europe
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smau
Igor Serraino
 
Addestramento PCI 2011
Addestramento PCI 2011Addestramento PCI 2011
Addestramento PCI 2011
mircobova
 

Similar to Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679. (20)

Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
Privacy e protezione del dato. Gli adempimenti del nuovo Regolamento UE 679/2...
 
Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.Le normative in materia di sicurezza informatica.
Le normative in materia di sicurezza informatica.
 
Lezione 7 4 2011
Lezione 7 4 2011Lezione 7 4 2011
Lezione 7 4 2011
 
Introduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridicaIntroduzione alla sicurezza informatica e giuridica
Introduzione alla sicurezza informatica e giuridica
 
Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto Convegno- workshop Territoriale Anorc Professioni Veneto
Convegno- workshop Territoriale Anorc Professioni Veneto
 
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
La sicurezza dei dati e dell'informazione - Melissa Marchese, Gianni Origoni ...
 
Lezione 7 4 2011
Lezione 7 4 2011Lezione 7 4 2011
Lezione 7 4 2011
 
Semplificazioni privacy studi legali
Semplificazioni privacy studi legaliSemplificazioni privacy studi legali
Semplificazioni privacy studi legali
 
GDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmaticaGDPR e sicurezza infoirmatica
GDPR e sicurezza infoirmatica
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
 
Normativa Mobile device, Marketing, Videosorveglianza
Normativa Mobile device, Marketing, VideosorveglianzaNormativa Mobile device, Marketing, Videosorveglianza
Normativa Mobile device, Marketing, Videosorveglianza
 
Cyber security ai tempi delle reti OT: dalla data protection alla data defence.
Cyber security ai tempi delle reti OT: dalla data protection alla data defence.Cyber security ai tempi delle reti OT: dalla data protection alla data defence.
Cyber security ai tempi delle reti OT: dalla data protection alla data defence.
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informatica
 
2011 11-17 videosorveglianza
2011 11-17 videosorveglianza2011 11-17 videosorveglianza
2011 11-17 videosorveglianza
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
 
10 consigli per un sito web (più sicuro)
10 consigli per un sito web (più sicuro)10 consigli per un sito web (più sicuro)
10 consigli per un sito web (più sicuro)
 
Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018Presentazione Avvocato Rinaldi smau padova 2018
Presentazione Avvocato Rinaldi smau padova 2018
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smau
 
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...
 
Addestramento PCI 2011
Addestramento PCI 2011Addestramento PCI 2011
Addestramento PCI 2011
 

Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.

  • 1. SICUREZZA NELLE OPERAZIONI DI TRATTAMENTO REGOLAMENTO UE 2016/679 dott. Andrea Ballandino Consulente Privacy, libero professionista.
  • 2. Regolamento UE 2016/679 Articolo 32 Sicurezza del trattamento 1.  tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
  • 3. Regolamento UE 2016/679 Articolo 32 Sicurezza del trattamento a)  pseudoanonimizzazione e cifratura •  creare degli pseudonimi dei dati; •  la cifratura non è una misura “nuova”…... (rif. d.lgs.196/2003)*; •  pseudoanonimizzazione e cifratura: da valutare caso per caso i rischi e attuare dette misure per limitare i rischi; •  effettuare prima l’analisi dei rischi e poi prevedere in base all’analisi misure di pseudoanonimizzazione e cifratura. *Provvedimento 8 aprile 2010 .....f) la trasmissione tramite una rete pubblica di comunicazioni di immagini riprese da apparati di videosorveglianza deve essere effettuata previa applicazione di tecniche crittografiche che ne garantiscano la riservatezza; le stesse cautele sono richieste per la trasmissione di immagini da punti di ripresa dotati di connessioni wireless (tecnologie wi- fi, wi-max, Gprs). …..
  • 4. Regolamento UE 2016/679 Articolo 32 Sicurezza del trattamento b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; resilienza: capacità di reazione di un sistema a fronte di eventi che mettono a rischio la sicurezza dei dati trattati dallo stesso. c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; tempestivamente vs non superiori a sette giorni punto 23 Allegato B al d.lgs.196/2003 ….. 23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni……
  • 5. Regolamento UE 2016/679 Articolo 32 Sicurezza del trattamento d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”. à AUDIT à ACCOUNTABILITY Prima invece le procedure…. d.lgs.19/2003 – Art. 34 comma-1 lett b) adozione di procedure di gestione delle credenziali di autenticazione. d.lgs.19/2003 – Art. 34 comma-1 lett f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi.
  • 6. Regolamento UE 2016/679 Articolo 32 Sicurezza del trattamento 2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Prendiamo la definizione di misure idonee (o adeguate) dal d.lgs.196/2003 Art. 31. Obblighi di sicurezza 1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. IL LIVELLO DI SICUREZZA E’ ADEGUATO QUANDO PERMETTE DI MINIMIZZARE I RISCHI DI •  distruzione; •  perdita totale o parziale; •  accesso non autorizzato; •  trattamento non consentito o non conforme alle finalità della raccolta dei dati personali;
  • 7. Regolamento UE 2016/679 Articolo 32 Sicurezza del trattamento 3. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo. Mediante l’adesione a codici di condotta o meccanismi di certificazione si può dimostrare la conformità ai requisiti del paragrafo 1.
  • 8. Regolamento UE 2016/679 Articolo 32 Sicurezza del trattamento 4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri. Il titolare e il responsabile devono assicurare che chiunque tratti dati in nome e per conto del titolare agisca mediante istruzioni precise su come trattare gli stessi. Come devono agire titolare e responsabile? •  istruzioni operative a chi tratta i dati (meglio scritte, controfirmate e comprese); •  istruzioni operative a chi tratta i dati in merito a specifici trattamenti (es. marketing, videosorveglianza ecc.); •  formazione delle figure previste dalla norma. Il principio è….. …..non posso dire che sbagli se non ti dico che cosa è giusto/sbagliato fare…..
  • 9. COME POSSIAMO CONTINUARE A MANTENERE SICURI I NOSTRI DATI?
  • 10. MANTENERE SICURI I NOSTRI DATI Autenticazione a 2 fattori Cifratura dei dischi Trasmissione sicura dei dati Applicativi Sicuri
  • 11. MANTENERE SICURI I NOSTRI DATI AUTENTICAZIONE A 2 FATTORI “…quello che ho in testa unito a quello che ho in tasca….” •  token; •  telefono cellulare e sms; •  chiavetta usb con funzionalità avanzate.
  • 12. MANTENERE SICURI I NOSTRI DATI CRITTOGRAFIA DEI DISCHI/CHIAVETTE MAC OSX: Filevault; WINDOWS: Bitlocker o altri sistemi di crittografia; CHIAVETTE/HARD DISK ESTERNI: VERACRYPT (per OSX, WIN e LINUX). Esistono tool che permettono di forzare l’account personale di macchina in sistemi non crittografati, es. Konboot e Ultimate Boot CD. Koonboot per Windows e OSX; http://www.piotrbania.com/all/kon-boot/
  • 13. MANTENERE SICURE LE NOSTRE RETI •  autenticazione dei servizi offerti/applicativi; •  nascondere il nome della rete*; •  password di accesso robusta*; •  tecniche crittografiche di trasmissione dei dati*; •  accesso in funzione del mac-address*; •  evitare condivisioni con i sistemi aziendali se non di pertinenza (es. reti wi-fi guest)*; •  separare il traffico di rete. *nello specifico per reti wi-fi.
  • 14. TRASMISSIONE SICURA DEI DATI Possibilità di rendere sicure le comunicazioni all’interno di una rete locale oppure fra reti geografiche private e pubbliche in internet. VARIE CASISTICHE •  connettività sicura delle sedi locali via internet; •  accesso remoto sicuro via internet; •  attivazione di connettività extranet e intranet con i fornitori.
  • 15. TRASMISSIONE SICURA DEI DATI HTTPS Interazione del protocollo HTTP con lo strato sicuro di comunicazione fornito da SSL (standard internet denominato poi TLS). Viene creato un canale di comunicazione criptato attraverso lo scambio di certificati. SSL provvede alla sicurezza del collegamento garantendo •  autenticazione delle identità; •  confidenzialità delle informazioni trattate; •  integrità dei dati inviati/ricevuti.
  • 16. PGP APPLICATIVI SICURI •  E’ possibile assicurare sicurezza, segretezza e integrità dei dati trasmessi a livello applicativo; •  Le nostre email transitano tra vari server ed è possibile ricostruire il percorso delle stesse e avere delle “copie”; •  PGP (Pretty Good Privacy) è un software per la gestione di documenti cifrati/autenticati basato su un approccio ibrido (crittografia asimmetrica + simmetrica); •  PGP è diventato prodotto commerciale (http://www.pgp.com); •  la versione free più utilizzata è GPG (GNU Privacy Guard).