Francesco Marcheluzzo - Ingegnere dell'informazione GDPR e sicurezza del trattamento: le misure tecniche e organizzative "adeguate" da adottare

1. GDPR e sicurezza del
trattamento: le misure tecniche
e organizzative "adeguate" da
adottare
28 FEBBRAIO 2019
9.00 – 13.30
SEDE DELL'ORDINE DEGLI
INGEGNERI VERONA
CO NV EG NO - W O R KS HOP T E R R I TOR I A L E
A N O RC P R O F ES SI O NI V E NE TO
ORGANIZZATO DA
IN COLLABORAZIONE CON CON IL CONTRIBUTO INCONDIZIONATO DI
F R A NCES CO M A RCHELU Z ZO
I N G E G NE R E D E L L ' I NF O R MA Z I O NE

2. DIGITALIZZAZIONE E LA PRIVACY - VERONA, 28 FEBBRAIO 2019
I dati sono il petrolio del nuovo millennio

3. DIGITALIZZAZIONE E LA PRIVACY - VERONA, 28 FEBBRAIO 2019
Il Cloud ormai è realtà, ma cosa c’è sotto?

4. Rapporto Clusit (Associazione Italiana per la
Sicurezza Informatica)
1° semestre del 2017: il peggiore di
sempre nell’evoluzione delle
minacce «cyber» e relativi impatti,
sia dal punto di vista quantitativo
che qualitativo.

5. La sicurezza informatica
La Sicurezza Informatica può essere
definita come l’insieme delle
misure, di carattere organizzativo e
tecnologico, atte a garantire:
⚫ l’autenticazione dell’utente
⚫ la disponibilità dei dati
⚫ l’integrità dei dati
DIGITALIZZAZIONE E LA PRIVACY - VERONA, 28 FEBBRAIO 2019

6. DIGITALIZZAZIONE E LA PRIVACY - VERONA, 28 FEBBRAIO 2019
Art. 34. Trattamenti con strumenti elettronici (abrogato)
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo
se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le
seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico…
e) protezione degli strumenti elettronici e dei dati…
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di
dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Decreto legislativo 30 giugno 2003, n. 196

7. DIGITALIZZAZIONE E LA PRIVACY - VERONA, 28 FEBBRAIO 2019
Gestione profili di autorizzazione e credenziali di autenticazione
- Sistema antivirus e antispam
- Aggiornamento periodico (almeno semestrale) dei sistemi
- Backup dei dati con cadenza almeno settimanale
- Istruzioni tecnico-organizzative per gestione e salvataggio dati
- Definizione di procedure per garantire il ripristino dell’ accesso ai dati
- DPS (abrogato 2012)
- LOG Amministratori di sistema (12/2009)
Allegato B – Disciplinare tecnico in materia
di misure minime di sicurezza (abrogato)

8. Nel GDPR: tre pilastri della Data Protection
Il principio di “accountability” cioè
responsabilizzazione
Il criterio della “privacy by design e by
default”
L’approccio basato sul rischio e misure di
sicurezza adeguate
DIGITALIZZAZIONE E LA PRIVACY - VERONA, 28 FEBBRAIO 2019

9. DIGITALIZZAZIONE E LA PRIVACY - VERONA, 28 FEBBRAIO 2019
Articolo 32 "Sicurezza del trattamento": “...il titolare e il responsabile del
trattamento mettono in atto misure tecniche e organizzative adeguate per
garantire un livello di sicurezza adeguato al rischio”
Il Regolamento stabilisce la responsabilizzazione del Titolare del
trattamento: il Titolare ha l’obbligo di dimostrare la compliance alle
prescrizioni del Regolamento mediante l’adozione di misure tecniche (per
la sicurezza fisica e informatica dei dati) e organizzative (politiche e
procedure interne, formazione del personale, verifiche o audit…) adeguate,
nonché un apparato documentale appropriato
Pilastro n.1 Accountability

10. Pilastro n.2:Privacy by design e by default
Articolo 25 "Protezione dei dati fin dalla progettazione e protezione per
impostazione predefinita": “..al momento di determinare i mezzi del
trattamento sia all'atto del trattamento stesso il titolare del trattamento
mette in atto misure tecniche e organizzative adeguate...” e “il titolare del
trattamento mette in atto misure tecniche e organizzative adeguate per
garantire che siano trattati, per impostazione predefinita, solo i dati
personali necessari per ogni specifica finalità del trattamento.”
DIGITALIZZAZIONE E LA PRIVACY - VERONA, 28 FEBBRAIO 2019

11. Pilastro n.3: Analisi dei rischi
Articolo 35 del Gdpr: “Quando un tipo di trattamento, prevede in
particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il
contesto e le finalità del trattamento, può presentare un rischio elevato per
i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua,
prima di procedere al trattamento, una valutazione dell’impatto (DPIA)
dei trattamenti previsti sulla protezione dei dati personali.”
DIGITALIZZAZIONE E LA PRIVACY - VERONA, 28 FEBBRAIO 2019

12. Pilastro n.3: Misure Adeguate
Art. 32: Misure tecniche ed organizzative adeguate per garantire un livello
di sicurezza adeguato al rischio
⚫ pseudonimizzazione e/o cifratura dei dati
⚫ assicurare riservatezza, integrità, disponibilità e resilienza dei sistemi
⚫ capacità di ripristinare tempestivamente la disponibilità e l’accesso dei
dati
⚫ procedura per verificare e valutare regolarmente l’efficacia delle misure
tecniche e organizzative
DIGITALIZZAZIONE E LA PRIVACY - VERONA, 28 FEBBRAIO 2019

13. DataBreach
Art. 33 – Data Breach
In caso di violazione dei dati personali il Titolare notifica la violazione
all’autorità Garante entro 72 ore
Articolo 34 -1
Quando la violazione dei dati personali è suscettibile di presentare un
rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del
trattamento comunica la violazione all’interessato senza ingiustificato
ritardo.
Articolo 34 -3
Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se ...il
titolare del trattamento ha messo in atto le misure tecniche e organizzative
adeguate
DIGITALIZZAZIONE E LA PRIVACY - VERONA, 28 FEBBRAIO 2019

14. In pratica?
“La teoria la sanno esprimere tutti ,
basta imparare a memoria, ma è
mettere tutto su carta la vera
responsabilità”
DIGITALIZZAZIONE E LA PRIVACY - VERONA, 28 FEBBRAIO 2019

15. Il GDPR è un vestito su misura
Il GDPR è come un bel vestito su
misura con cui presentarsi ai propri
clienti: non è possibile farcelo da soli
scaricando e compilando dei
template ma serve un professionista
che ce lo confezioni.
DIGITALIZZAZIONE E LA PRIVACY - VERONA, 28 FEBBRAIO 2019

16. Grazie per l’attenzione!
Francesco Marcheluzzo
Ingegnere dell'informazione
www.adigepro.it
francesco.marcheluzzo@adigepro.it