La sicurezza nel GDPR: dall’analisi dei rischi alle misure tecniche adeguate da implementare. La proposta di G Data Software

1. +
La sicurezza nel GDPR
Giulio Vada
G DATA Software Italia

2. G DATA – Pad. 4 - H09

3. Quanto teniamo alla nostra privacy?

4. Sul concetto di rischio
 Gap culturale tra IT e Business:
 L’IT valuta il rischio qualitativamente, classificando gli asset e le
minacce
 L’uomo/donna di business lo stima come l’effetto dell’incertezza
sugli obiettivi o la probabilità che un evento (potenzialmente
dannoso) accada per il costo delle sue conseguenze
 La distanza tra queste due concezioni è il problema: si nasconde
così la natura probabilistica del rischio.

5. GDPR: Aspetti preliminari
 Maggiore salvaguardia e attenzione ai diritti del soggetto del
trattamento, ergo maggiore protezione e sicurezza
 Necessità di un ripensamento dell‘organizzazione aziendale per
interpretare il regolamento nel proprio contesto
 Ampi margini di azione al titolare nell‘attuare misure di protezione in
maniera adeguata ai rischi valutati (responsabilizzazione)
 Maggiore burocratizzazione: testimoniare esternamente
l‘implementazione di controlli e stimolare internamente un
atteggiamento proattivo o risk-based

6. GDPR: principali adempimenti
 Nozione di dato personale molto più ricca e aggiornata (identità
„social“, il „Corpo elettronico“ di Rodotà). Come ci presentiamo in
rete.
 Sanzioni molto severe. La violazione è qualcosa di serio e la
sanzione è commisurata alla potenza economica dell‘azienda (art.
83)
 Data Protection Officer (aka DPO)

7. GDPR: principali adempimenti
 Obbligo della segnalazione di un „data breach“ (ma solo se c‘è
pericolo per i dati trattati)
 Privacy (Risk) Impact Assessment. Analisi preliminare su cui
imbastire le contromisure
 Privacy by design e by default
 Governance del trattamento dei dati. Le norme standard (i.e.
ISO27001) utili ai fini del raggiungimento della compliance

8. L’insicurezza è la nuova normalità

9. Cos’è un Rischio Cyber
Per "rischio informatico" si intende
qualsiasi rischio di perdita
finanziaria, interruzione o danno alla
reputazione di un' organizzazione a
causa di un qualsiasi tipo di guasto
dei suoi sistemi informatici.

10. Cos’è un Rischio Cyber
L’idea che «se le operazioni correnti
sono sicure per me, allora è sicuro
per tutti» non è più vera in epoca di
GDPR

11. Padova. Attacco Petya-Netya-GoldenEye
Ferma la Maschio Gaspardo ed il
magazzino TNT in zona industriale. Piu' di
600 lavoratori con le mani in mano. E ad
essere colpite sono le tre sedi aziendali
(Campodarsego, Cadoneghe e Morsano al
Tagliamento - PN). Fermo avvenuto in tempi
rapidissimi, e distribuito immediatamente sul
territorio. Facciamo un conto velocissimo?
L'un per l'altro, l'azienda sosterrà costi
diretti di circa 300.000Eur per una giornata
di fermo, senza un ritorno di produttività.
Senza contare i costi "indiretti" o emergenti
per fronteggiare la crisi.

12. Agenzia delle Entrate: vicenda “Spesometro”
Con un semplice codice fiscale si potevano
vedere e scaricare le fatture telematiche
trasmesse all’Agenzia delle Entrate. C’era un
buco enorme nel sistema telematico gestito
dalla società pubblica Sogei per la trasmissione
delle fatture elettroniche all Agenzia delle
entrate-Riscossione. Una falla che ha
permesso a chiunque avesse le credenziali per
entrare, commercialisti o anche semplici
contribuenti, e per non si sa quanto tempo, di
consultare liberamente i dati fiscali degli altri
cittadini. Quel sistema che doveva restare
"blindato", e non solo per ovvie ragioni di
privacy, di fatto è rimasto aperto alla mercé di
tutti, senza chiave.

13. Furto? No, inoculazione di Virus
Un palazzo nobiliare in pieno centro a Milano, la portafinestra di uno studio
associato di notai trovata aperta all’arrivo delle prime impiegate. Negli
uffici, scrivanie rovesciate e cassetti buttati sul pavimento. Sembrerebbe la
tipica scena di un furto, invece gli intrusi non erano dei ladri, ma hacker.
Dagli uffici infatti non è sparito niente, nemmeno una biro, l’obiettivo fin da
subito erano i computer che custodivano dati preziosi e unici, contratti
immobiliari, estratti conto, visure e che sono stati riempiti di un virus
«Cryptolocker» nella sua versione più aggiornata e feroce. Gli intrusi
hanno rivendicato l’agguato con un’email e con il consiglio di pagare un
riscatto per ottenere la chiave d’accesso ai preziosi file.
Non è l’unico caso, in questo periodo a Milano sono presi di mira
prestigiosi studi notarili e uffici di avvocati e commercialisti, aziende e
alberghi da Hacker mascherati da "topi d'appartamento"

14. Approfittiamo del GDPR per fare meglio l’IT

15. Ma se arriva un ispettore dell’Autorità
Garante o la GdF?

16. Articolo 83.2 Condizioni generali per infliggere…
Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare
l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:
a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura,
l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi
dal danno e il livello del danno da essi subito;
b) il carattere doloso o colposo della violazione;
c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per
attenuare il danno subito dagli interessati;

17. Articolo 83.2 Condizioni generali per infliggere…
d) il grado di responsabilità del titolare del trattamento o del responsabile del
trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto
ai sensi degli articoli 25 e 32;
f) il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e
attenuarne i possibili effetti negativi;
j) l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di
certificazione approvati ai sensi dell'articolo 42; e

18. Articolo 32.1 Sicurezza del trattamento
Tenendo conto dello stato dell'arte e dei costi
di attuazione, nonché della natura,
dell'oggetto, del contesto e delle finalità del
trattamento, come anche del rischio di varia
probabilità e gravità per i diritti e le libertà
delle persone fisiche, il titolare del trattamento
e il responsabile del trattamento mettono in
atto misure tecniche e organizzative adeguate
per garantire un livello di sicurezza adeguato
al rischio, che comprendono, tra le altre, se
del caso:
A. la pseudonimizzazione e la cifratura dei
dati personali;
B. la capacità di assicurare su base
permanente la riservatezza, l'integrità,
la disponibilità e la resilienza dei sistemi
e dei servizi di trattamento;
C. la capacità di ripristinare
tempestivamente la disponibilità e
l'accesso dei dati personali in caso di
incidente fisico o tecnico;
D. una procedura per testare, verificare e
valutare regolarmente l'efficacia delle
misure tecniche e organizzative al fine
di garantire la sicurezza del trattamento.

19. Articolo 32.2 Sicurezza del trattamento
 Nel valutare l'adeguato livello di sicurezza, si tiene conto in special
modo dei rischi presentati dal trattamento che derivano in particolare
dalla
distruzione, dalla perdita, dalla modifica, dalla divulgazione non
autorizzata
o dall'accesso, in modo accidentale o illegale, a dati personali
trasmessi,
conservati o comunque trattati.

20. Sicurezza dei dati
 Obbligo di attuare misure di sicurezza adeguate in considerazione dei
seguenti elementi:
 Lo stato dell’arte e i costi di attuazione
 La natura e il campo di applicazione del trattamento
 Il contesto e le finalità del trattamento
 Il rischio, la probabilità e la gravità delle conseguenze per i diritti e
le libertà delle persone

21. Misure adeguate

22. Processo di gestione del rischio

23. Processo di gestione del rischio

24. Che fare?
 Parlate con un legale
 Se avete dubbi, parlate con ancora con un legale
 A questo punto, ma solo ora, fate quattro chiacchiere con il Vostro
fornitore IT

25. Che fare (più seriamente)?
 Sensibilizzate e formate i vostri dipendenti sui temi della protezione
dei dati personali
 Analizzate il trattamento attualmente in corso dei dati personali
 Conducete un’analisi dei rischi relativi a quel trattamento (PIA)
 Se l’esito è positive, pubblicizzatelo!
 Valutate con un esperto le contromisure adottate (organizzative e
tecniche)
 Eseguite dei test periodici

26. Che fare (più seriamente)?
 Scrivete una nuova informativa sulla protezione dei dati e mettetela a
disposizione dei vostri dipendenti, clienti e partner
 Redigete il registro dei trattamenti. Sempre!
 Nominate, se è il caso, un Data Protection Officer (o RPD)
 Siete in grado di:
 Dare alle persone accesso ai loro dati personali?
 Aggiornare o cancellare i dati personali dei vostri clienti?
 C’è una procedura per la conservazione sicura dei dati?
 Accorgervi se avete subito un incidente di sicurezza?

27. G DATA TOTAL CONTROL

28. G DATA TOTAL CONTROL

29. PARTNERS

30. #JustFollowUs @GData
Giulio.vada@gdata.it