Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Intervento di Domenico Carnicella

661 views

Published on

Seminario Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Parma 23 maggio 2012

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
661
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Privacy - semplificazioni e adempimenti. Un'opportunità per le aziende - Intervento di Domenico Carnicella

  1. 1. Dalla forma alla sostanza: la tutela in concreto del patrimonio informativo aziendale DOMENICO CARNICELLA DATACONSEC SRL
  2. 2. FONTE NORMATIVAREGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCILon the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)Article 22Responsibility of the controllerArticle 23Data protection by design and by defaultArticle 30Security of processing
  3. 3. ACCOUNTABILITY: DEFINIZIONEAccountability is a universal privacy principle. This principle states that an organization is responsible for personal information under its control and should designate an individual or individuals who are accountable for the organizations compliance with the remaining principles."La Responsabilità è un principio universale privacy. Questo principio afferma che lorganizzazione è responsabile delle informazioni personali sotto il suo controllo e deve designare uno o più individui che sono responsabili della conformità dellorganizzazione con i principi rimanenti. " Il principio dell’accountability dei titolari del trattamento: vero cambiamento culturale. La nuova normativa incoraggia, infatti, coloro che trattano i dati personali ad essere responsabili e pro‐attivi, sin dalla prima fase del trattamento dati.
  4. 4. ARTICOLO 22 “principio di responsabilità”General obligationsArticle 22 takes account of the debate on a "principle of accountability" and describes indetail the obligation of responsibility of the controller to comply with this Regulation and todemonstrate this compliance, including by way of adoption of internal policies andMechanisms for ensuring such compliance.Obblighi generaliLarticolo 22 tiene conto del dibattito su un "principio di responsabilità" e descrive in particolare lobbligo di responsabilità del Titolare di conformarsi al presente regolamento e dimostrare tale conformità, anche mediante ladozione delle politiche interne ed meccanismi per assicurare tale conformità.
  5. 5. La responsabilità del Titolare 1. Il Titolare adotta politiche e attua misure adeguate per garantire , ed  essere in grado di dimostrare che il trattamento dei dati personali si svolga nel rispetto del presente regolamento. 2. Le misure di cui al paragrafo 1 comprendono in particolare: (A) conservare la documentazione di cui allarticolo 28; (B) soddisfi i requisiti di sicurezza dei dati di cui allarticolo 30; (C) eseguire una valutazione dei dati di protezione dimpatto (analisi dei  rischi) ai sensi dellarticolo 33; (D) conformi ai requisiti di autorizzazione preventiva o consultazione  preventiva lautorità di vigilanza ai sensi dellarticolo 34 (1) e (2); (E) la della protezione dei dati ai sensi dellarticolo 35 designazione di un  responsabile  3. Il responsabile del trattamento adotta meccanismi atti a garantire la  verifica dell’ efficacia delle misure di cui ai paragrafi 1 e 2. Se adeguata, questa  verifica è effettuata da revisori interni o esterni.[…]
  6. 6. Segue art. 22 “Proporzionalità”4. La Commissione ha il potere di adottare regolamenti  attuativi ai sensi Larticolo 86 al fine di precisarne le  ulteriori criteri e requisiti per misure appropriate di cui al  paragrafo 1, oltre a quelle già di cui al al paragrafo 2, le  condizioni per i meccanismi di verifica e controllo di cui al  paragrafo 3 e per quanto riguarda i criteri di  proporzionalità di cui al paragrafo 3, e in  considerazione  misure specifiche per le micro, piccole e medie‐ imprese.
  7. 7. Articolo 30 “Sicurezza del trattamento” 1. Il Titolare (od il Responsabile) attua le misure tecniche e misure organizzative per  assicurare un livello di sicurezza adeguato ai rischi rappresentata dal trattamento e  alla natura dei dati personali da proteggere, visto lo stato dellarte e dei costi della loro  attuazione. 2. Il Titolare (od il Responsabile) deve, a seguito di una valutazione dei rischi,  prendere le misure di cui al paragrafo 1, per proteggere i dati personali contro  accidentale o distruzione illegale o perdita accidentale e per prevenire eventuali  forme illecite di  elaborazione, in particolare qualsiasi divulgazione non autorizzata, la diffusione o laccesso, o alterazione dei dati personali 3. La Commissione ha il potere di adottare atti delegati ai sensi Larticolo 86 al fine di  specificare ulteriormente i criteri e le condizioni per la misure tecniche e  organizzative di cui ai paragrafi 1 e 2, compreso il determinazioni di cosa costituisce lo  stato dellarte, per settori specifici e specifiche situazioni di elaborazione dati, in  particolare tenendo conto degli sviluppi in tecnologie e soluzioni per la privacy by design  e protezione dei dati per impostazione predefinita, [...] 
  8. 8. Articolo 30 “Sicurezza del trattamento”4. La Commissione può adottare, ove necessario, i regolamenti attuativi per  specificare la requisiti di cui ai paragrafi 1 e 2 alle diverse situazioni, in  particolare: (a) impedire qualsiasi accesso non autorizzato ai dati personali; (b) evitare la divulgazione non autorizzata, lettura, copia, modifica,  cancellazione o la rimozione dei dati personali; (c) assicurare la verifica della legittimità delle operazioni di  trattamento.
  9. 9. Articolo 33: valutazione dimpatto sulla protezione dei dati Valutazione dellimpatto sulla protezione dei dati e previa autorizzazione Larticolo 33 introduce lobbligo dei Titolari di effettuare la  valutazione dell’ impatto sulla protezione dei dati, prima di  effettuare operazioni di trattamento a rischio (risk assessment)[…]La valutazione deve contenere almeno una descrizione generale delle  operazioni di trattamento previste, la valutazione dei rischi per i diritti e le  libertà di dati soggetti a trattamento, le misure previste per affrontare i rischi,  le garanzie, le misure di sicurezza e meccanismi per garantire la protezione  dei dati personali e per dimostrare il rispetto del presente regolamento,  tenendo conto dei diritti e dei legittimi interessi dei titolari dei dati  (interessati persone fisiche) e delle altre persone interessate.
  10. 10. In concreto: aree di intervento Al fine di uniformare le soluzioni di sicurezza individuate ,alle best practice nell’ambito dell’information security e della privacy, si propone di ricondurre  l’analisi ad aree di intervento già delineate dagli standard internazionali quali  lo standard ISO/IEC 27001:2005, che definisce i requisiti essenziali per  costituire un sistema di gestione della sicurezza delle informazioni. • Security Policy • Organizing Information Security • Asset Management • Human Resources Security • Physical and Environmental Security • Communications and Operations Management • Access Control • Information Systems Acquisition, Development and Maintenance • Information Security Incident Management • Business Continuity Management • Compliance
  11. 11. Metodo A titolo esemplificativo per la categoria Asset Management: A 7 – Asset Management  A 7.1 – Responsibility for assets  A 7.1.1. – Inventory of assets  A 7.1.2 – Ownership of assets  A 7.1.3 – Acceptable use of assets  A 7.2 – Information classification A 7.2.1. – Classification guidelines A 7.2.2. – Information labelling and handling
  12. 12. A 7.1.3 – Acceptable use of assets Indice Premessa (fonti ed ente emittente) Entrata in vigore del regolamento e pubblicità Campo di applicazione del regolamento Utilizzo del Personal Computer Gestione ed assegnazione delle credenziali di autenticazione Utilizzo della rete di Azienda Utilizzo e conservazione dei supporti rimovibili Utilizzo di PC portatili Uso della posta elettronica Blackberry e tablet device Navigazione in Internet (TOKEN) Protezione antivirus Utilizzo dei telefoni, fax e fotocopiatrici aziendali Osservanza delle disposizioni in materia di Privacy Accesso ai dati trattati dall’utente  Sistema di controlli graduali Sanzioni Aggiornamento e revisione Appendice
  13. 13. Estratto tabella efficacia controlli
  14. 14. Criteri di sicurezza: obiettivi• Riservatezza: capacità della soluzione di proteggere la confidenzialità  delle informazioni da possibili accessi non autorizzati• Integrità: capacità della soluzione di garantire l’accuratezza e  completezza delle informazioni ed evitarne la modifica non autorizzata• Disponibilità: capacità della soluzione di garantire la disponibilità delle  informazioni quando richieste dai processi aziendali• Conformità: capacità della soluzione di garantire la conformità ai  requisiti derivanti da normative esterne, regolamenti, accordi  contrattuali e/o policy e procedure interne
  15. 15. Metodo: fasi di adeguamento 1. Analisi dei processi di trattamento dei dati1. Analisi assetto organizzativo dell’ organizzazione: analisi dello scenario, delle  normative di riferimento e le norme applicabili in genere, mediante la  definizione del perimetro e la rilevazione delle sue varie componenti  (procedure già presenti, contratti, SLA, tipologia di informazioni trattate,  applicazioni, sistemi, procedure e prassi, persone coinvolte e loro ruoli  dell’organizzazione, interfacce verso l’esterno, outsourcing tecnologico e  funzionale)2. Mappatura delle aree aziendali “sensibili” e dell’ambito di applicazione‐OUPUT: Documento struttura organizzativa2. IT audit assessment1. Esame attuali procedure di gestione tecnico‐ normativa di trattamento dei dati 2. Analisi conformità adempimenti effettuati3. Analisi delle misure di sicurezza tecnologiche implementate‐OUTPUT: Report Gap Analysis segue………
  16. 16. Metodo: fasi di adeguamento 3. Compliance normativa1. Aggiornamento ed integrazione documentazione legale sulla base delle risultanze della Gap Analysis2. Redazione Regolamenti cogenti3. Definizione piani di formazione‐OUTPUT: Documentazione di Compliance,  4. Analisi dei rischi1. Test di sicurezza sulla rete ed i sistemi IT interni (Vulnerability Assessment) 2. Test di sicurezza sul perimetro esterno (Penetration Testing) 3. Identificazione e valutazione dei rischi ‐OUTPUT: Risk Mitigation Plan da allegare al DPS 5. Security Policy1. Definizione delle politiche di sicurezza di alto livello2. Definizione delle politiche di sicurezza specifiche per “settori critici”3. Avviamento e attuazione delle procedure4. Distribuzione della documentazione del Sistema di Gestione‐OUTPUT: Documento delle Policy, Manuale delle Procedure6. Audit1. Elaborazione Piano di audit2. Conduzione di un ciclo di audit completo3. Definizione e applicazione delle azioni correttive ‐OUTPUT: Redazione del rapporto di audit per la direzione
  17. 17. Last minute “cloud” e privacy
  18. 18. Il decalogo per una scelta consapevole EFFETTUARE UNA VERIFICA SULL’AFFIDABILITÀ DEL FORNITORE PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA PORTABILITÀ DEI DATI ASSICURARSI LA DISPONIBILITÀ DEI DATI IN CASO DI NECESSITÀ SELEZIONARE I DATI DA INSERIRE NELLA NUVOLA NON PERDERE DI VISTA I DATI INFORMARSI SU DOVE RISIEDERANNO, CONCRETAMENTE, I DATI ATTENZIONE ALLE CLAUSOLE CONTRATTUALI VERIFICARE TEMPI E MODALITÀ DI CONSERVAZIONE DEI DATI ESIGERE ADEGUATE MISURE DI SICUREZZA FORMARE ADEGUATAMENTE IL PERSONALE
  19. 19. Una precauzione extra per gli utenti privatiLe disposizioni previste dal Codice della privacy non si applicano a singole persone che trattano i dati per scopi personali, senza diffonderli magari su Internet e senza effettuare comunicazioni sistematiche di tali dati a più individui. È comunque opportuno ricordare che anche le cosiddette “persone fisiche” sono tenute a conservare con cura i dati affinché la loro eventuale perdita non possa causare danni ad altre persone. L’adozione di nuove tecnologie per la mobilità, come smartphone e tablet, dotati di grandi quantità di memoria, spesso connessi a servizi cloud non protetti che consentono di sfruttare lo stesso strumento per attività private e professionali, ha però aumentato il rischio di perdita di controllo dei dati personali. Si consiglia quindi di conservare con cura gli strumenti tecnologici utilizzati per scopi personali, e di adottare tutte le cautele al fine di impedire accessi anche accidentali, da parte di terzi, ai dati personali.
  20. 20. www.dataconsec.com Dott. Domenico Carnicella d.carnicella@dataconsec.com24/05/2012 DATACONSEC.COM 20

×