Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (2017-12-15)

IL NUOVO QUADRO
NORMATIVO EUROPEO PER
LA PROTEZIONE DEI DATI
Ing. Andrea Praitano
MACERATA 15 DICEMBRE 2017
15/12/2017
Il nuovo quadro normativo Europeo per la protezione
dei dati - (c) Andrea Praitano - vietato l'uso
1

ANDREA PRAITANO, CHI SONO?
Lieutenant on
leave
Member of the
Board
ANDREA PRAITANO
MA ANCHE …..
15/12/2017
Il nuovo quadro normativo Europeo per la protezione dei dati - (c) Andrea
Praitano - vietato l'uso
2

AGENDA
15/12/2017
3

Premessa al corso 15/12/2017
4

IL REGOLAMENTO (UE) 2016/679 NON PARLA DI “PRIVACY” ….PARLA DI
“PROTEZIONE DEI DATI”
15/12/2017
Praitano - vietato l'uso5

Protezione dei dati personali e … 15/12/2017

QUALCHE DEFINIZIONE (1/3)
Termine Definizione
Protezione
dei dati
È quella disciplina dedita alla protezione dei dati personali, dati sensibili e dati giudiziari in termini
di disponibilità, autenticità, integrità e riservatezza dei dati personali conservati o trasmessi e la
sicurezza dei relativi servizi offerti
Privacy La privacy termine inglese equivalente a riservatezza o privatezza, è appunto il diritto alla
riservatezza della propria vita privata
[Fonte: Wikipedia]
(privacy non può essere considerato sinonimo della protezione dei dati come richiesto dalla normativa)
Sicurezza
delle
informazioni
2.33 sicurezza delle informazioni: preservazione di riservatezza, integrità e disponibilità
dell’informazione
Note 1 to entry: In addition, other properties, such as authenticity (2.8), accountability, non-
repudiation (2.54), and reliability (2.62) can also be involved.
[Fonte ISO/IEC 27000:2014]
Cybersecurity Preservazione di riservatezza, integrità e disponibilità dell’informazione nel Cyberspace
[Fonte ISO/IEC 27032:2012]
Cyberspace: “the complex environment resulting from the interaction of people, software and services on the Internet by means of technology
devices and networks connected to it, which does not exist in any physical form”
………..
15/12/2017

http://www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=296
15/12/2017

Lesson
#1
La protezione dei dati (comunemente nota anche come privacy), la sicurezza delle
informazioni, la sicurezza informatica e la cybersecurity non sono cose diverse fra di loro ma
parte di una stessa «famiglia», quindi possono essere affrontate insieme o, comunque, con
le stesse tecniche e conoscenze.
15/12/2017

FAMIGLIA ISO/IEC 270XX
27001:2013
ISMS requirements
27002
Code of practice
27003
Implementation
guidance
27004
Measurements
27005
Risk Management
27006:2011
Requirements for
audit & cert. bodies
27011
Telecommunications
Requisiti Linee Guida Di Settore
27000
Vocabulary
27008
Guidelines for Auditors
27007
Guidelines ISMS auditing
27010
Inter-sector
communications
27013
Integrate ISO/IEC 20000
and ISO/IEC 27001
27014
Governance of
information security
27015
ISM guidelines
for financial services
27016
ISM Organisational
Economics
270xx
……
27018
Personally Identifiable Inf.
(PII) in public clouds
27017
Code of practice
for cloud services
27019
ISM guidelines for
energy utility industry
27799
ISM in health
using ISO/IEC 27002
15/12/2017

L’ELENCO DELLE NORME DELLA FAMIGLIA ISO 2700X
ISO/IEC 27000 overview & glossary
ISO/IEC 27001 formal ISMS specification
ISO/IEC 27002 infosec controls
ISO/IEC 27003 ISMS implementation guide
ISO/IEC 27004 infosec metrics 2nd edition
published Dec 2016
ISO/IEC 27005 infosec risk management
ISO/IEC 27006 ISMS certification guide
ISO/IEC 27007 mgmt system auditing
ISO/IEC TR 27008 security auditing
ISO/IEC 27009 sector variants of ISO27k
ISO/IEC 27010 for inter-org comms
ISO/IEC 27011 ISO27k in telecoms 2nd edition
published Dec 2016
ISO/IEC 27013 ISMS & ITIL/service mgmt
ISO/IEC 27014 infosec governance
ISO/IEC TR 27015 ISO27k in financial services
ISO/IEC TR 27016 infosec economics
ISO/IEC 27017 cloud security controls
ISO/IEC 27018 cloud privacy
ISO/IEC TR 27019 process control in energy
ISO/IEC 27031 ICT business continuity
ISO/IEC 27032 cybersecurity
ISO/IEC 27033-1...6 network security
ISO/IEC 27034-1, 2 & 6 application security
ISO/IEC 27035-1 & 2 incident management Part 2
published end 2016
ISO/IEC 27036-1...4 ICT supply chain & cloud
ISO/IEC 27037 digital evidence [eForensics]
ISO/IEC 27038 document redaction
ISO/IEC 27039 intrusion prevention
ISO/IEC 27040 storage security
ISO/IEC 27041 investigation assurance
ISO/IEC 27042 analyzing digital evidence
ISO/IEC 27043 incident investigation
ISO/IEC 27050-1 eForensics Part 1 published end 2016
ISO 27799 ISO27k in the health industry 2016 version
out now
15/12/2017

LE NORME PIÙ IMPORTANTI DELLA FAMIGLIA
ISO/IEC 27000:2016 -
Overview and vocabulary
ISO/IEC 27005:2011 -
Information security risk
management
ISO/IEC 27031:2011 -
Guidelines for information and
communications technology
readiness for BC
ISO/IEC 27035:2016 – IS
incident management
ISO/IEC 27001:2013 -
Requirements
ISO/IEC 27014:2013 -
Governance of information
security
ISO/IEC 27032:2012 -
Guidelines for cybersecurity
ISO/IEC 27036:2013-2016 + -
Information security for
supplier relationships
ISO/IEC 27002:2013 - Code of
practice
practice for IS controls based
on ISO/IEC 27002 for cloud
services
ISO/IEC 27033:2010+ -
Network security
ISO/IEC 27039:2015 -
Selection, deployment and
operation of intrusion
detection and prevention
systems (IDPS)
ISO/IEC 27003:2010 – ISMS
implementation guidance
practice for protection of
Personally Identifiable
Information (PII) in public
clouds acting as PII processors
ISO/IEC 27034:2011+ -
Application security
ISO/IEC 27040:2015 - Storage
security

Lesson
#2
Non inventiamo l’acqua calda, esiste una vasta conoscenza di buone pratiche sulla
sicurezza delle informazioni, usiamola e prendiamo spunto per la protezione dei dati!
15/12/2017

Evoluzione della normativa 15/12/2017

DIRETTIVA 95/46/EC
La Direttiva Europea da cui deriva la normativa privacy attuale è «abbastanza» datata.
Google non c’era (è nato nel 1997)
Yahoo, era poco più che in fasce (è nato nel 1994)
Lo «smartphone» di allora era il Nokia 9000 Communicator che fu
presentato al CeBIT del 1996
L’Internet «veloce» era a 56k
Facebook non era neanche in fasce (lanciato il 4 febbraio 2004)
…e questo era il mio cellulare
di allora
Vi ricordate il 1995?
15/12/2017

EVOLUZIONE DELLA NORMATIVA
https://iapp.org/resources/article/a-brief-history-
of-the-general-data-protection-regulation/
15/12/2017

Lesson
#3
Il mondo evolve rapidamente, le leggi hanno cicli di aggiornamento molto lenti, anche gli
standard (ad es. ISO) hanno cicli non velocissimi (solitamente 5 anni). Le organizzazioni
devono adeguarsi rapidamente alle nuove minacce. Devono essere messi in piedi sistemi di
verifica e miglioramento continuo quelli che le norme ISO chiamano i sistemi di gestione e il
DLgs 196 imponeva come ciclo annuale.
15/12/2017

Il Regolamento (UE) 2016/679 (GDPR)15/12/2017

DA DOVE NASCE IL DIRITTO ALLA PROTEZIONE DEI DATI
NELLA UE?
Carta dei diritti fondamentali dell’UE
Articolo 1: Dignità umana
Articolo 2: Diritto alla vita
Articolo 3: Diritto all’integrità della persona
Articolo 4: Proibizione della tortura e delle pene o trattamenti inumani o degradanti
Articolo 5: Proibizione della schiavitù e del lavoro forzato
Articolo 6: Diritto alla libertà e alla sicurezza
Articolo 7: Rispetto della vita privata e della vita familiare
15/12/2017

CARTA DEI DIRITTI FONDAMENTALI DELL’UE
15/12/2017

Regolamento (UE) 2016/679 - General Data Protection Regulation – GDPR
(alcune parti sono da recepire con leggi nazionali)
Direttiva (UE) 2016/680 – Direttiva generale dati giudiziari (ancora da recepire)
Draft del Regolamento ePrivacy (sostituisce la Direttiva 2002/58/CE – Direttiva
generale per il trattamento dei dati personali e per la tutela della vita privata
nel settore delle comunicazioni elettroniche - recepita dal D.Lgs. 196:2003)
Provvedimenti del Garante della protezione dei Dati personali
Complessivamente la
normativa non è, allo
stato attuale, del
tutto chiara.
PROTEZIONE DEI DATI PERSONALI/PRIVACY
Articolo 8 Carta dei diritti fondamentali dell’UE
15/12/2017

FRAMEWORK EUROPEO SULLA PRIVACY: NON SOLO GDPR
Articolo 8 Carta dei diritti
fondamentali dell’UE
Regolamento (UE)
2016/679 - GDPR
(sostituisce la Direttiva 95/46/EC)
Direttiva (UE) 2016/680
Direttiva generale dati giudiziari
(ancora da recepire)
Proposta Regolamento
ePrivacy
(sostituisce la Direttiva 2002/58/CE – Direttiva
generale per il trattamento dei dati personali e per
la tutela della vita privata nel settore delle
comunicazioni elettroniche - recepita dal D.Lgs.
196:2003)
Guideline Working Party
29 e Garanti Privacy
……….
15/12/2017

Il GDPR abroga la direttiva 95/46/CE da cui deriva la normativa italiana attuale (D.Lgs. 196:2003). Il Codice privacy italiano è il
recepimento anche della Direttiva 2002/58/CE che è in corso di aggiornamento (e sostituzione) da parte del parlamento Europeo.
Quindi le direttive Europee che recepiva decadono, decadendo di conseguenza la normativa italiana.
IL CODICE PRIVACY ITALIANO (D.LGS. 196:2003) NON DECADE
AUTOMATICAMENTE
«LEGGE 25 ottobre 2017, n. 163
Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti
dell'Unione europea - Legge di delegazione europea 2016-2017. (17G00177)
Art. 13 Delega al Governo per l'adeguamento della normativa nazionale alle disposizioni del GDPR
1. Il Governo è delegato ad adottare, entro sei mesi <omissis> uno o più decreti legislativi al fine di
adeguare il quadro normativo nazionale <omissis>
COSA SUCCEDE ALLA NORMATIVA ATTUALE?
15/12/2017

Il GDPR abroga la direttiva 95/46/CE da cui deriva la normativa italiana attuale (D.Lgs. 196:2003). Il Codice privacy italiano è il
recepimento anche della Direttiva 2002/58/CE che è in corso di aggiornamento (e sostituzione) da parte del parlamento Europeo.
Quindi le direttive Europee che recepiva decadono, decadendo di conseguenza la normativa italiana.
IL CODICE PRIVACY ITALIANO (D.LGS. 196:2003) NON DECADE
AUTOMATICAMENTE
Nota del Garante della Protezione dei dati:
«Le norme italiane se incompatibili con il nuovo regolamento privacy dell’Unione
europea», ha spiegato Augusta Iannini, vicepresidente Garante Privacy, intervenendo
al convegno organizzato da Unione fiduciaria a Milano ad ottobre del 2016, sul
nuovo regolamento europeo in materia di protezione dei dati personali, «saranno
tacitamente abrogate».
Il problema però diventa qual è l’interpretazione «autentica» dell’incompatibilità?
COSA SUCCEDE ALLA NORMATIVA ATTUALE?
15/12/2017

LA NORMATIVE NON È UGUALE IN TUTTA EUROPA
Il framework della protezione dei dati europeo si compone della carta dei diritti dell’Unione uguale per
tutti, di un regolamento uguale per tutti (ma con punti aperti), e due direttive recepite dagli stati
dell’Unione. Quindi di fatto differenze fra le diverse nazioni ci sono anche se molto meno di prima.
Da capire cosa succederà anche con le evoluzione derivanti dai diritti common law e civil law.
15/12/2017

Lesson
#4
Il nuovo framework della protezione dei dati personali è articolato e complesso. Ci sono
aspetti che si sovrappongono e che potrebbero essere in contrasto fra di loro. La normativa
per la protezione dei dati non è uguale in tutta Europa ma possiamo dire che ha un
battente comune.
15/12/2017

ARTICOLO 3: AMBITO DI APPLICAZIONE TERRITORIALE
1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle
attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del
trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno
nell'Unione.
2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si
trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del
trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
a. l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente
dall’obbligatorietà di un pagamento dell’interessato; oppure
b. il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo
all’interno dell’Unione.
3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del
trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato
membro in virtù del diritto internazionale pubblico.
15/12/2017

Lesson
#5
Il nuovo Regolamento si applica a tutte le organizzazioni che gestiscono dati di cittadini
europei. Di fatto anche il Regno Unito anche dopo la futura formalizzazione della Brexit
dovrà applicarlo. Si applica anche quando sono forniti servizi gratuiti (lo si può leggere
come Social Network).
15/12/2017

ARTICOLO 4: DEFINIZIONI (1/3)
1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o
identificabile («interessato»); si considera identificabile la persona fisica che può essere
identificata, direttamente o indirettamente, con particolare riferimento a un identificativo
come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo
online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica,
psichica, economica, culturale o sociale;
Come possono dividersi i dati personali?
• Dati personali diretti: come una foto, il nome, la data di nascita o altri dati biometrici;
• Dati personali indiretti: il codice fiscale, l’indirizzo IP o il numero di un cliente che può
essere analizzato per identificare un individuo;
• Dati sensibili: dati che direttamente o indirettamente possono rilevare la religione,
l’etnia, ragioni politiche oppure dati di tipo sanitario o informazioni sulla vita sessuale.
▪ Possono esserci dati classificabili «ultra sensibili» come interruzioni di gravidanze, risultati HIV, ecc.
15/12/2017

Quali sono i DATI PERSONALI?
Sono tutte le informazioni relative a persone fisiche che consentano
l’identificazione diretta o indiretta di questi stessi soggetti
(art. 4, comma 1, lettere b e c)
DIRETTA
INDIRETTA
• NOME E COGNOME
• CODICE FISCALE
• FOTOGRAFIA
• REGISTRAZIONE VIDEO O SONORA
• CODICE IDENTIFICATIVO
• NUMERO DI MATRICOLA
DATI PERSONALI (DLGS 196/2003 E GDPR)
15/12/2017

Quali sono i DATI SENSIBILI?
È considerato dato sensibile qualsiasi informazione (art.
4, comma 1, lettera d) che riveli:
L’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché
tutti i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
▪ Consenso scritto dell’interessato e autorizzazione del Garante
▪ Misure di sicurezza aggiuntive e più forti
Condizioni per il trattamento (non per enti pubblici):
DATI SENSIBILI (DLGS 196/2003 E GDPR)
15/12/2017

▪ Art.3, comma 1, lettere da a) a o) e da r) a u) del D.P.R 313/2002 in
materia di casellario giudiziale,
▪ Anagrafe delle sanzioni amministrative dipendenti da reato e dei
relativi carichi pendenti,
▪ La qualità di imputato o di indagato ai sensi degli artt. 60 e 61 del
codice di procedura penale.
Quali sono i DATI GIUDIZIARI?
Sono una categoria di dati personali, idonei a rivelare i
provvedimenti di cui (art. 4, comma 1, lettera e):
DATI GIUDIZIARI (DLGS 196/2003 E DIRETTIVA 680/2016)
15/12/2017

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza
l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati
personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la
conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la
comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a
disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la
distruzione;
15/12/2017

7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio
o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i
mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale
trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare
del trattamento o i criteri specifici applicabili alla sua designazione possono essere
stabiliti dal diritto dell’Unione o degli Stati membri;
8) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il
servizio o altro organismo che tratta dati personali per conto del titolare del
trattamento;
11) «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica,
informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio
assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali
che lo riguardano siano oggetto di trattamento;
15/12/2017

DATA PROTECTION
OFFICER
TITOLARE
INCARICATI
INTERESSATI
RESPONSABILE
GARANTE
ADS
LE FIGURE PREVISTE
15/12/2017

Lesson
#6
Il ruoli previsti all’interno del nuovo Regolamento non sono così diversi da quelli che
erano previsti precedentemente.
15/12/2017

I PILASTRI DEL GDPR
15/12/2017

Lesson
#7
Il GDPR ha dei principi basilari importanti e che potrebbe essere complesso
implementare all’interno delle organizzazioni.
15/12/2017

ARTICOLO 25: DATA PROTECTION BY DESIGN E DATA
PROTECTION BY DEFAULT
La norma in italiano li chiama: Protezione dei dati fin dalla progettazione
e protezione per impostazione predefinita
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,
dell’ambito di applicazione, del contesto e delle finalità del trattamento, come
anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle
persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi
del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette
in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione,
volte ad attuare in modo efficace i principi di protezione dei dati, quali la
minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di
soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
15/12/2017

PSEUDONIMIZZAZIONE
• La “pseudonimizzazione” è il processo volto a mascherare l’identità dell’interessato.
L’obiettivo è poter raccogliere dati sulla persona senza conoscerne l’identità. Tale
aspetto è particolarmente pertinente nel contesto della ricerca e della statistica.
15/12/2017

ARTICOLO 25: DATA PROTECTION BY DESIGN E DATA
PROTECTION BY DEFAULT
2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate
per garantire che siano trattati, per impostazione predefinita, solo i dati
personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale
per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di
conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per
impostazione predefinita, non siano resi accessibili dati personali a un numero
indefinito di persone fisiche senza l’intervento della persona fisica.
3. Un meccanismo di certificazione approvato ai sensi dell’articolo 42 può essere
utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai
paragrafi 1 e 2 del presente articolo.
15/12/2017

1. Proactive not reactive; Preventative not remedial
2. Privacy as the default setting
3. Privacy embedded into design
4. Full functionality – positive-sum, not zero-sum
5. End-to-end security – full lifecycle protection
6. Visibility and transparency – keep it open
7. Respect for user privacy – keep it user-centric
http://www.privacybydesign.ca/
Information and Privacy Commissioner of
Ontario, Canada
SEVEN PRINCIPLES OF PRIVACY BY DESIGN
15/12/2017
Nota: enunciato nel 1996!

1. Desensibilizzare i
sistemi, gestire solo i dati
personali necessari;
2. Definire i requisiti di
sicurezza in fase iniziale del
progetto (parallelamente
ai requisiti funzionali);
3. Prevedere verifiche di
sicurezza continua in fase di
progettazione e di sviluppo
(Sviluppo e progettazione sicura,
Code review, …);
4. Prevedere test di
sicurezza in parallelo ai
test funzionali (VA, PT);
5. Prevedere audit e test di
sicurezza continui;
DATA PROTECTION BY DESIGN
Opinione
personale!
15/12/2017

I dati hanno un valore sul “mercato”, perché complicarsi la vita e
gestire dati non necessari alle funzionalità dei sistemi?
Fonte: Trendmicro
Meno misure di
sicurezza
necessarie!
DESENSIBILIZZARE I SISTEMI, GESTIRE SOLO I DATI
PERSONALI NECESSARI
15/12/2017

I requisiti e le funzionalità di sicurezza vanno di pari passo con i
requisiti funzionali e le funzionalità, implementare dopo la sicurezza
costa di più ed è meno efficace!
Misure di sicurezza
pensate per
tempo!
Sviluppo a cascata tradizionale
Funzionali
Infrastrutturali
Sicurezza
Sicurezza
Sviluppo agile
DEFINIRE I REQUISITI DI SICUREZZA IN FASE INIZIALE DEL
PROGETTO
15/12/2017

La sicurezza è un processo continuo, bisogna pensare ad uno sviluppo
sicuro!
Misure di sicurezza
pensate per
tempo!
PREVEDERE VERIFICHE DI SICUREZZA CONTINUA IN FASE DI
PROGETTAZIONE E DI SVILUPPO
15/12/2017

Gli hacker vedono da un punto di vista differente le cose, la sicurezza
va provata «sul campo»!
Misure di sicurezza
adeguate!
PREVEDERE TEST DI SICUREZZA
15/12/2017

NEL DARK WEB TROVATO UN MEGA ARCHIVIO DA 1,4
MILIARDI DI CREDENZIALI, IN CHIARO
http://cybersecurity.startupitalia.eu/56276-20171214-mega-archivio-14-miliardi-credenziali-chiaro
Ci risiamo, un altro enorme archivio di 41 Gigabyte contenente 1,4
miliardi di credenziali in chiaro è stato trovato nel dark web. La
sconcertante scoperta è stata fatta dagli esperti dell’azienda di
sicurezza 4iQ il 5 dicembre.
La password più usata è ancora 123456, seguita da 123456789, qwerty, password e
111111 … che fantasia.
Nota: Ad ottobre 2017 la popolazione mondiale ammonta a circa 7,5 miliardi di persone. (fonte Wikipedia)
15/12/2017

Lesson
#8
Il principio del Data Protection by Design del GDPR può essere visto come il prevedere la
sicurezza come parte integrante dei sistemi e non solo come un add-on che, gioco forza,
sarebbe meno efficace. È poi un approccio ciclico che parte dalla progettazione ma
continua per tutta la vita del sistema. Gli attaccanti utilizzano schemi mentali di attacco
completamente differenti da chi gestisce il sistema stesso.
15/12/2017

DATA PROTECTION BY DEFAULT
Questo principio, a titolo di logica, si compone di due aspetti:
• Trattare il minimo dei dati necessari, cioè desensibilizzare il più possibile i sistemi:
▪ ricordiamoci il principio che la criticità di un sistema dipende dal dato più critico che viene
gestito;
• Prevedere la maggior tutela dell’interessato, cioè di default non sono prevedibili
opzioni poco a favore dell’interessato:
▪ Consenso esplicito e specifico;
▪ Se presenti opzioni di default pre-selezionate devono essere a favore dell’interessato non
dell’organizzazione. Opinione
personale!
15/12/2017

Lesson
#9
Il principio del Data Protection by Default si traduce in un desensibilizzare i sistemi il più
possibile, è inutile gestire dei dati che poi non serve aggravando la progettazione e la
gestione dei sistemi stessi. Semplificarsi la vita il più possibile!
15/12/2017

ARTICOLO 35: DATA PROTECTION IMPACT ASSESSMENT
(1/2)
1. Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove
tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può
presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del
trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto
dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione
può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
3. La Data Protection Impact Assessment di cui al paragrafo 1 è richiesta in particolare nei
casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un
trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno
effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o
di dati relativi a condanne penali e a reati di cui all'articolo 10; o
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
15/12/2017

ARTICOLO 35: DATA PROTECTION IMPACT ASSESSMENT
(2/2)
7. La valutazione contiene almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento,
compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del
trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle
finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1;
e
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza
e i meccanismi per garantire la protezione dei dati personali e dimostrare la
conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi
degli interessati e delle altre persone in questione.
15/12/2017

DATA PROTECTION IMPACT ASSESSMENT
L’approccio all’implementazione della compliance attraverso la DPIA si basa sul rispetto dei
principi di privacy:
• il rispetto dei principi di legge per la tutela della privacy (specificato, esplicitando e
legittimando lo scopo; informazioni chiare e complete agli interessati; il periodo di
conservazione limitato; il diritto di opposizione, accesso, rettifica e cancellazione, ecc.), al fine
di determinare e giustificare la rilevanza dei controlli destinati a soddisfare questi requisiti;
• gestione dei rischi legati alla sicurezza dei dati personali che hanno un impatto sulla privacy
degli interessati «al fine di» prendere tutte le precauzioni utili, per quanto riguarda la natura
dei dati e dei rischi del trattamento, per preservare la sicurezza dei dati e, in particolare,
evitare la loro alterazione e danni, o l’accesso da parte di terzi non autorizzati. Opinione
personale!
15/12/2017

PASSI PER LA DPIA
1. definire e descrivere il contesto del trattamento dei
dati personali in esame e la posta in gioco connessa;
2. identificare i controlli esistenti o previsti (per
soddisfare i requisiti legali e per il trattamento dei
rischi per la privacy proporzionati);
3. valutare i rischi per la privacy per garantire che siano
trattati correttamente;
4. prendere la decisione di convalidare il modo in cui si
prevede di rispettare i principi sulla privacy e il
trattamento dei rischi, o rivedere i passaggi
precedenti.
15/12/2017

PROCESSO DPIA
15/12/2017

Lesson
#10
Nel GDPR non è più presente l’allegato B con le misure minime, esistono esclusivamente
l’equivalente delle misure idonee che definiva il D.Lgs. 196:2003. Il GDPR ufficializza in
modo insindacabile che l’approccio è basato sull’analisi del rischio e che questo deve
portare all’individuazione delle misure di sicurezza che devono essere messe in piedi
dall’Organizzazione.
15/12/2017

ARTICOLO 4: DEFINIZIONI
12) «violazione dei dati personali»: la violazione di sicurezza che comporta
accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la
divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o
comunque trattati;
Leggendola bene è una definizione decisamente ampia!
15/12/2017

ARTICOLO 33: NOTIFICA DI UNA VIOLAZIONE DEI DATI
PERSONALI ALL’AUTORITÀ DI CONTROLLO (1/3)
1. In caso di violazione dei dati personali, il titolare del trattamento
notifica la violazione all’autorità di controllo competente a norma
dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72
ore dal momento in cui ne è venuto a conoscenza, a meno che sia
improbabile che la violazione dei dati personali presenti un rischio
per i diritti e le libertà delle persone fisiche. Qualora la notifica
all'autorità di controllo non sia effettuata entro 72 ore, è corredata
dei motivi del ritardo.
2. Il responsabile del trattamento informa il titolare del trattamento
senza ingiustificato ritardo dopo essere venuto a conoscenza della
violazione.
15/12/2017

3. La notifica di cui al paragrafo 1 deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove
possibile, le categorie e il numero approssimativo di interessati in
questione nonché le categorie e il numero approssimativo di registrazioni
dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei
dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l’adozione da parte del
titolare del trattamento per porre rimedio alla violazione dei dati personali e
anche, se del caso, per attenuarne i possibili effetti negativi.
15/12/2017

4. Qualora e nella misura in cui non sia possibile fornire le informazioni
contestualmente, le informazioni possono essere fornite in fasi
successive senza ulteriore ingiustificato ritardo.
5. Il titolare del trattamento documenta qualsiasi violazione dei dati
personali, comprese le circostanze a essa relative, le sue
conseguenze e i provvedimenti adottati per porvi rimedio. Tale
documentazione consente all’autorità di controllo di verificare il
rispetto del presente articolo.
15/12/2017

DATA BREACH NOTIFICATION
Il furto è avvenuto nel 2014!
Il mercato lo ha saputo dopo 2 anni!!!!!!
Non è chiaro quando Yahoo ha scoperto il furto, se subito
o dopo. In ogni caso è possibile che questi fatti non
vengano individuati immediatamente mentre accadono
(ma il titolare deve mettere in piedi sistemi che aiutano a
farlo), ma solo dopo tempo ….a volte potrebbe essere che
non ci si accorge della violazione.
15/12/2017

DATA BREACH NOTIFICATION
https://www.fireeye.com/current-threats/annual-threat-report/mtrends.html
DATI 2015:
EMEA: 469 GG
GLOBALE 146 GG
DATI MANDIANT 2016
15/12/2017

Lesson
#11
Il GDPR formalizza l’obbligatorietà della notifica all’Autorità garante nel caso di furto di
dati personali; questo è un aspetto importante che può spaventare molto le
organizzazioni in quanto sancisce l’obbligatorietà di non insabbiare il furto di dati.
15/12/2017

ARTICOLO 34: COMUNICAZIONE DI UNA VIOLAZIONE DEI
DATI PERSONALI ALL’INTERESSATO (1/3)
1. Quando la violazione dei dati personali è suscettibile di presentare
un rischio elevato per i diritti e le libertà delle persone fisiche, il
titolare del trattamento comunica la violazione all’interessato senza
ingiustificato ritardo.
2. La comunicazione all’interessato di cui al paragrafo 1 del presente
articolo descrive con un linguaggio semplice e chiaro la natura della
violazione dei dati personali e contiene almeno le informazioni e le
misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d).
15/12/2017

3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è
soddisfatta una delle seguenti condizioni:
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative
adeguate di protezione e tali misure erano state applicate ai dati personali
oggetto della violazione, in particolare quelle destinate a rendere i dati personali
incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare
il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di
cui al paragrafo 1;
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede
invece a una comunicazione pubblica o a una misura simile, tramite la quale gli
interessati sono informati con analoga efficacia.
15/12/2017

4. Nel caso in cui il titolare del trattamento non abbia ancora
comunicato all’interessato la violazione dei dati personali, l’autorità di
controllo può richiedere, dopo aver valutato la probabilità che la
violazione dei dati personali presenti un rischio elevato, che vi
provveda o può decidere che una delle condizioni di cui al paragrafo
3 è soddisfatta.
15/12/2017

Lesson
#12
Il GDPR formalizza l’obbligatorietà della notifica all’interessato nel caso di furto di dati
personali, questa azione può essere evitata nel caso di presenza di adeguate misure di
sicurezza atte a proteggere i dati rubati (di fatto la sola cifratura). La presenza della
cifratura può non essere un fattore sufficiente se non adeguatamente robusta.
Questo è un aspetto importante che può spaventare molto le organizzazioni in quanto
sancisce l’obbligatorietà, in alcuni casi, del rendere pubblico il furto di dati (e quindi la non
presenza di adeguate misure di sicurezza atte a proteggere i dati).
15/12/2017

Accenni alla Direttiva (UE) 2016/680
15/12/2017

DIRETTIVA (UE) 2016/680
15/12/2017

ARTICOLO 6: DISTINZIONE TRA DIVERSE CATEGORIE DI
INTERESSATI
Gli Stati membri dispongono che il titolare del trattamento, se del caso e nella
misura del possibile, operi una chiara distinzione tra i dati personali delle
diverse categorie di interessati, quali:
a) le persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o
stiano per commettere un reato;
b) le persone condannate per un reato;
c) le vittime di reato o le persone che alcuni fatti autorizzano a considerare potenziali
vittime di reato, e
d) altre parti rispetto a un reato, quali le persone che potrebbero essere chiamate a
testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti, le
persone che possono fornire informazioni su reati o le persone in contatto o collegate
alle persone di cui alle lettere a) e b).
15/12/2017

RECEPIMENTO DELLA DIRETTIVA 680/2016
«LEGGE 25 ottobre 2017, n. 163
Delega al Governo per il recepimento delle direttive europee e l'attuazione di altri atti
dell'Unione europea - Legge di delegazione europea 2016-2017. (17G00177)
Art. 11 Criterio direttivo per l'attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del
27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte
delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di
sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del
Consiglio
1. Nell'esercizio della delega per l'attuazione della direttiva (UE) 2016/680 <omissis> il Governo è tenuto a seguire,
oltre ai principi e criteri direttivi di cui all'articolo 1, comma 1, anche il seguente criterio direttivo specifico:
prevedere, per le violazioni delle disposizioni adottate a norma della citata direttiva,
l'applicazione della pena detentiva non inferiore nel minimo a sei mesi e non superiore nel massimo a cinque anni,
ferma restando la disciplina vigente per le fattispecie penali già oggetto di previsione.
2. Dall'attuazione del presente articolo non devono derivare nuovi o maggiori oneri a
carico della finanza pubblica. Le amministrazioni interessate provvedono agli adempimenti di cui al presente articolo
con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente
15/12/2017

CONSIDERAZIONI
• È una direttiva quindi dovrà essere recepita dallo stato italiano (cosa a cui è stato
delegato il Governo a farlo attraverso la forma del Decreto legge).
• È relativa ai così detti “dati giudiziari” e altri aspetti connessi.
• È prettamente relativa alle amministrazioni o all’autorità non alle singole
organizzazioni.
• Per le organizzazioni potrebbe interessare solo se si trovano a gestire dati assimilabili
a dati giudiziari.
15/12/2017

Lesson
#13
Il nuovo framework privacy europeo non si compone del solo GDPR, che comunque ne è
la parte principale, ma ha anche una direttiva, approvata congiuntamente al GDPR, che la
completa.
15/12/2017

Draft ePrivacy regulation
15/12/2017

COME STA PROCEDENDO L’UNIONE EUROPEA?
Dove è consentito dai trattati che regolamentano l’Unione procede sotto forma di
Regolamento (quindi senza la necessità di recepimento da parte degli Stati membri
dell’Unione)
Nota: il procedere sotto forma di regolamento comporta, di fatto, un iter più lungo in quanto gli Stati
membri dell’Unione non hanno la possibilità di «adattare» la norma in fase di recepimenti. Il
Parlamento e la Commissione devono trovare il giusto compromesso fra le esigenze dei diversi
stati membri.
15/12/2017

PERCHÉ L’EPRIVACY REGULATION VA VISTO INSIEME AL
GDPR?
Articolo 1 Oggetto
[omissis]
3. Quanto disposto dal presente regolamento precisa e integra il regolamento (UE) 2016/679 stabilendo norme
specifiche ai fini di cui ai paragrafi 1 e 2.
Articolo 4 Definizioni
[omissis]
1. Ai fini del presente regolamento si applicano le seguenti definizioni:
(a) le definizioni contenute nel regolamento (UE) 2016/679;
E tanti altri punti
15/12/2017

PERCHÉ L’EPRIVACY REGULATION VA VISTO INSIEME AL
GDPR?
Articolo 27 Abrogazione
1. La direttiva 2002/58/CE è abrogata a decorrere dal 25 maggio 2018.
Il più eloquente di tutti però è l’articolo 27 che indica la stessa identica data di decorrenza del GDPR.
Articolo 29 Entrata in vigore e applicazione
1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta
ufficiale dell’Unione europea.
2. Esso si applica a decorrere dal 25 maggio 2018.
15/12/2017

La proposta di Regolamento ePrivacy va visto come parte integrante del framework
privacy europeo. La Direttiva (UE) 2016/680 va a braccetto al GDPR (Regolamento (UE)
2016/679) in quanto approvate insieme, nello stesso modo la proposta Regolamento
ePrivacy ha una serie di punti interni come riferimenti e data di entrata in vigore.
Lesson
#14
15/12/2017

Il framework privacy europeo non è solo GDPR. Il GDPR va visto, come dice il suo
nome, come un regolamento generale che fornisce le regole base e comuni a tutti i
diversi ambiti. Queste regole di base sono integrate da altre normative specifiche
come la Direttiva (UE) 2016/680 e la Proposta Regolamento ePrivacy.
Lesson
#15
15/12/2017

CONSULTAZIONI DELLE PARTI INTERESSATE (1/3)
La Commissione ha organizzato una consultazione pubblica che si è svolta
fra il 12 aprile e il 5 luglio 2016:
15/12/2017

• Esigenza di norme speciali per il settore delle comunicazioni elettroniche per quanto
riguarda la riservatezza delle stesse:
▪ D’ACCORDO: l’83,4% dei cittadini, delle organizzazioni dei consumatori e della società civile
e l’88,9% delle autorità pubbliche
▪ NON D’ACCORDO: 63,4% del settore
• Ampliamento dell’ambito di applicazione ai nuovi servizi di comunicazione (OTT):
▪ D’ACCORDO: il 76% dei cittadini e della società civile e il 93,1% delle autorità pubbliche
▪ NON D’ACCORDO: il 63,8% dei rispondenti del settore
15/12/2017

• Modifica delle esenzioni per consentire il trattamento dei dati relativi al traffico e
alla localizzazione:
▪ il 49,1% dei cittadini e delle organizzazioni dei consumatori e della società civile nonché il
36% delle autorità pubbliche preferiscono non ampliare le esenzioni
▪ il 36% del settore si dichiara a favore di tale ampliamento; 2/3 del settore auspicano
l’abrogazione pura e semplice delle disposizioni
• Sostegno alle soluzioni proposte relativamente alla questione del consenso ai
marcatori:
▪ l’81,2% dei cittadini e il 63% delle autorità pubbliche sostengono l’imposizione di obblighi
ai fabbricanti di apparecchiature terminali affinché commercializzino prodotti con
impostazioni di vita privata attive preimpostate
▪ il 58,3% del settore appoggia l’opzione di autoregolamentazione e/o co-
regolamentazione
15/12/2017

La Proposta di Regolamento ePrivacy è più a favore dei cittadini e della protezione dei
loro diritti che delle organizzazioni.
Lesson
#16
15/12/2017

PROPOSTA DI REGOLAMENTO EPRIVACY (1/2)
Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
relativo al rispetto della vita privata e alla tutela dei dati personali nelle comunicazioni elettroniche e
che abroga la direttiva 2002/58/CE (regolamento sulla vita privata e le comunicazioni elettroniche)
1. Si propone di emanare sotto forma di regolamento e non di direttiva
2. E’ specifico sulla tutela dei dati personali nelle comunicazioni elettroniche
3. Abroga e sostituisce la direttiva 2002/58/CE
15/12/2017

Si sta procedendo sotto forma di regolamenti quando consentito in modo tale da non
dover essere recepiti e adattati dagli stati membri dell’Unione. Tutte e due le direttive
da cui derivava il DLgs 196:2003 andranno a decadere.
Lesson
#17
15/12/2017

PROPOSTA DI REGOLAMENTO EPRIVACY (2/2)
4. Entrerà in vigore in concomitanza con l’entrata in vigore del GDPR
15/12/2017

AMBITO DEL REGOLAMENTO EPRIVACY
CAPO I DISPOSIZIONI GENERALI
Articolo 1 Oggetto
1. Il presente regolamento stabilisce norme in materia di tutela dei diritti e delle
libertà fondamentali delle persone fisiche e giuridiche per quanto attiene alla
fornitura e all’uso di servizi di comunicazione elettronica, in particolare il diritto
al rispetto della vita privata e delle comunicazioni nonché la tutela delle persone
fisiche in merito al trattamento dei dati personali.
15/12/2017

Articolo 1 Oggetto
2. Il presente regolamento garantisce la libera circolazione dei dati delle
comunicazioni elettroniche e dei servizi di comunicazione elettronica
nell’Unione, i quali non sono limitati né proibiti per motivi connessi al rispetto
della vita privata e delle comunicazioni delle persone fisiche e giuridiche nonché la
tutela delle persone fisiche per quanto attiene al trattamento dei dati personali.
3. Quanto disposto dal presente regolamento precisa e integra il regolamento (UE)
2016/679 stabilendo norme specifiche ai fini di cui ai paragrafi 1 e 2.
15/12/2017

CHE COSA VUOLE ANDARE A REGOLAMENTARE QUESTO
REGOLAMENTO?
15/12/2017

Regolamenta i servizi elettronici e lo scambio dei dati attraverso questi mezzi.
Regolamenta la raccolta dei metadati degli utenti.
Lesson
#18
15/12/2017

Articolo 2 Ambito di applicazione materiale
1. Il presente regolamento si applica al trattamento dei dati delle comunicazioni
elettroniche effettuato in relazione alla fornitura e alla fruizione dei servizi di
comunicazione elettronica e alle informazioni connesse alle apparecchiature
terminali degli utenti finali.
2. Il presente regolamento non si applica:
c) ai servizi di comunicazione elettronica non accessibili al pubblico;
15/12/2017

SERVIZI OVER-THE-TOP
I consumatori e le imprese si sono affidati sempre più ai nuovi servizi basati su internet
intesi a consentire le comunicazioni interpersonali, quali il voice-over-IP, la
messaggistica istantanea e i servizi di posta elettronica basati sulla rete anziché fruire
dei servizi di comunicazione tradizionali. Questi servizi di comunicazione over-the-top
(“OTT”) non sono di norma soggetti all’attuale quadro di riferimento dell’Unione per le
comunicazioni elettroniche, compresa la direttiva sulla vita privata elettronica.
15/12/2017

Regolamenta i servizi erogati al di sopra di altri servizi, quindi messaggistica istantanea
pubblica, email, call center, etc.
Lesson
#19
15/12/2017

ARTICOLO 6 TRATTAMENTO CONSENTITO DEI DATI DELLE
COMUNICAZIONI ELETTRONICHE
1. I fornitori di reti e servizi di comunicazione elettronica possono trattare i dati delle
comunicazioni elettroniche se:
(a) necessario per realizzare la trasmissione della comunicazione, per la durata
necessaria a tal fine, oppure
(b) se necessario per mantenere o ripristinare la sicurezza delle reti e dei servizi di
comunicazione elettronica o rilevare problemi e/o errori tecnici nella
trasmissione di comunicazioni elettroniche, per la durata necessaria a tal fine.
15/12/2017

ARTICOLO 6 TRATTAMENTO CONSENTITO DEI DATI DELLE
COMUNICAZIONI ELETTRONICHE
2. I fornitori di servizi di comunicazione elettronica possono trattare i metadati delle
comunicazioni elettroniche se:
(a) necessario per soddisfare i requisiti di qualità obbligatori a norma della
[direttiva che istituisce il codice europeo delle comunicazioni elettroniche] o del
regolamento (UE) 2015/212011, per la durata necessaria a tal fine; oppure
(b) se necessario a fini di fatturazione, calcolo di pagamenti di interconnessione,
rilevamento o arresto di un uso fraudolento o abusivo dei servizi di
comunicazione elettronica o di abbonamento agli stessi; oppure
(c) se l’utente finale ha prestato il suo consenso al trattamento dei metadati delle
sue comunicazioni per uno o più fini specificati, compresa l’erogazione di servizi
di traffico a tali utenti finali, purché il o i fini in questione non possano essere
realizzati mediante un trattamento anonimizzato delle informazioni.
15/12/2017

Il trattamento è consentito solo per le cose necessarie e per il tempo strettamente
necessario.
Lesson
#20
15/12/2017

ARTICOLO 7 CONSERVAZIONE E CANCELLAZIONE DEI DATI
DELLE COMUNICAZIONI ELETTRONICHE
1. Fatto salvo quanto disposto all’articolo 6, paragrafo 1, lettera b) e all’articolo 6,
paragrafo 3, lettere a) e b), il fornitore del servizio di comunicazioni elettroniche
cancella il contenuto delle comunicazioni elettroniche o anonimizza tali dati dopo
che il o i destinatari previsti hanno ricevuto il contenuto della comunicazione
elettronica. Tali dati possono essere registrati o conservati dagli utenti finali o da
un terzo da essi incaricato di registrare, conservare o trattare altrimenti tali dati, a
norma del regolamento (UE) 2016/679.
15/12/2017

Il fornitore del servizio deve cancellare i dati a meno che l’utente non acceda ad un
servizio di archiviazione. Ad esempio le conversazioni non devono risiedere su server ma
solo sul dispositivo dell’utente.
Lesson
#21
15/12/2017

ARTICOLO 9 CONSENSO
2. Fatto salvo quanto disposto dal paragrafo 1, laddove tecnicamente possibile e
praticabile, ai fini dell’articolo 8, paragrafo 1, lettera b), il consenso può essere
espresso mediante le opportune impostazioni di un’applicazione informatica che
consente l’accesso a internet.
3. Gli utenti finali che hanno acconsentito al trattamento dei dati delle comunicazioni
elettroniche a norma dell’articolo 6, paragrafo 2, lettera c), e dell’articolo 6,
paragrafo 3, lettere a) e b), dispongono della facoltà di revocare tale consenso in
qualsiasi momento, conformemente a quanto disposto all’articolo 7, paragrafo 3,
del regolamento (UE) 2016/679, e ogni sei mesi viene loro rammentata tale
possibilità, finché prosegue il trattamento.
15/12/2017

ARTICOLO 10 INFORMAZIONI E OPZIONI DA FORNIRE PER LE
IMPOSTAZIONI RELATIVE ALLA VITA PRIVATA
1. I programmi immessi sul mercato che consentono le comunicazioni elettroniche,
compreso il recupero e la presentazione di informazioni in rete, offrono l’opzione di
impedire che terzi conservino informazioni sull’apparecchiatura terminale di un
utente finale o trattino le informazioni già conservate su detta apparecchiatura.
2. All’installazione il programma informa l’utente finale delle impostazioni relative
alla vita privata e per proseguire nell’installazione richiede il consenso dell’utente
per una data impostazione.
3. Qualora un programma sia già installato al 25 maggio 2018, i requisiti di cui ai
paragrafi 1 e 2 sono soddisfatti al momento del primo aggiornamento del
programma e comunque non oltre il 25 agosto 2018.
15/12/2017

È possibile formalizzare un vero e proprio Privacy Level Agreement fra organizzazione e
cittadino. Bisogna rispettare il principio del Privacy by Default.
Lesson
#22
15/12/2017

ARTICOLO 14 BLOCCO DELLE CHIAMATE IN ENTRATA
I fornitori di servizi di comunicazione interpersonale basata sul numero accessibili al
pubblico adottano misure all’avanguardia affinché gli utenti finali possano limitare il
ricevimento di chiamate indesiderate e forniscono inoltre all’utente finale chiamato le
seguenti possibilità, a titolo gratuito:
(a) bloccare le chiamate in entrata provenienti da numeri specifici o da fonti anonime;
(b) porre termine alla trasmissione delle chiamate automatiche effettuate da terzi
verso l’apparecchiatura terminale dell’utente finale.
15/12/2017

Gli utenti «dovrebbero» riprendere un poco il controllo delle informazioni che gli
riguardano.
Lesson
#23
15/12/2017

ARTICOLO 16 COMUNICAZIONI INDESIDERATE
1. Le persone fisiche o giuridiche possono avvalersi dei servizi di comunicazione
elettronica al fine di inviare comunicazioni di commercializzazione diretta a utenti
finali aventi natura di persone fisiche che hanno espresso il loro consenso.
2. Allorché una persona fisica o giuridica ottiene dai suoi clienti le coordinate
elettroniche per la posta elettronica nel contesto della vendita di un prodotto o
servizio ai sensi del regolamento (UE) 2016/679, la medesima persona fisica o
giuridica può utilizzare tali coordinate elettroniche a scopi di commercializzazione
diretta di propri prodotti o servizi analoghi, solamente se ai clienti è offerta in
modo chiaro e distinto la possibilità di opporsi gratuitamente e agevolmente a tale
uso. Il diritto di obiezione è dato al momento della raccolta e ogniqualvolta si invii
un messaggio.
15/12/2017

ARTICOLO 16 COMUNICAZIONI INDESIDERATE
3. Fatto salvo quanto disposto ai paragrafi 1 e 2, le persone fisiche o giuridiche che
usano servizi di comunicazione elettronica per effettuare chiamate di
commercializzazione diretta:
(a) presentano l’identità di una linea alla quale possono essere contattati; oppure
(b) presentano un codice o prefisso specifico che identifichi il fatto che trattasi di
chiamata a fini commerciali.
15/12/2017

In termini di consenso cambia poco rispetto a come è oggi in Italia, deve essere
esplicito e dettagliato per la tipologia di uso delle informazioni
Lesson
#24
15/12/2017

Le chiamate da parte dei call center devono essere identificabili indicando un numero
dove possono essere contattati (per esercitare il loro diritto di essere cancellati ad
esempio) oppure presentando un prefisso riconoscibile (e quindi rifiutabile se l’utente
lo ritiene).
Lesson
#25
15/12/2017

ARTICOLO 17 INFORMAZIONI SUI RISCHI RELATIVI ALLA
SICUREZZA RILEVATI
Nel caso in cui esista un particolare rischio di compromettere la sicurezza delle reti e
dei servizi di comunicazione elettronica, il fornitore di un servizio di comunicazione
elettronica ne informa gli utenti finali e, qualora il rischio sia al di fuori del campo di
applicazione delle misure che devono essere prese dal fornitore di servizio, comunica
agli utenti finali tutti i possibili rimedi, compresi i relativi costi presumibili.
Informare gli utenti sui rischi
15/12/2017

La sicurezza non può essere trascurata da parte dell’operatore sia per quanto di sua
responsabilità sia per quanto riguarda l’informazione agli utenti e su come risolverli.
Lesson
#26
15/12/2017

ARTICOLO 23 CONDIZIONI GENERALI PER IMPORRE
SANZIONI AMMINISTRATIVE PECUNIARIE
2. In conformità al paragrafo 1, la violazione delle seguenti disposizioni del presente
regolamento è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR,
o per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio
precedente, se superiore:
[omissis]
3. Le violazioni del principio della riservatezza delle comunicazioni, del trattamento
consentito dei dati delle comunicazioni elettroniche, dei termini ultimi previsti per la
cancellazione in conformità degli articoli 5, 6 e 7, a norma del paragrafo 1, sono
soggette a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le
imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se
superiore.
15/12/2017

Le sanzioni sono similari a quelle previste nel GDPR anche come importi.
Lesson
#27
15/12/2017

ARTICOLO 28 CLAUSOLA DI MONITORAGGIO E VALUTAZIONE
Entro il 1° gennaio 2018 la Commissione stila un programma particolareggiato per il
monitoraggio dell’efficacia del presente regolamento.
Non oltre tre anni dalla data di applicazione del presente regolamento e
successivamente ogni tre anni, la Commissione effettua una valutazione del presente
regolamento e ne presenta i risultati salienti al Parlamento europeo, al Consiglio e al
Comitato economico e sociale europeo. Se del caso la valutazione proporrà di
modificare o abrogare il presente regolamento alla luce degli sviluppi giuridici, tecnici o
economici.
15/12/2017

Il regolamento ePrivacy è visto in modo diverso dal GDPR, essendo in un ambito che
evolve rapidamente è soggetto a monitoraggio ed adeguamento periodico.
Lesson
#28
15/12/2017

ARTICOLO 29 ENTRATA IN VIGORE E APPLICAZIONE
1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla
pubblicazione nella Gazzetta ufficiale dell’Unione europea.
2. Esso si applica a decorrere dal 25 maggio 2018.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile
in ciascuno degli Stati membri.
15/12/2017

La proposta di regolamento va a braccetto con il GDPR.
Lesson
#29
15/12/2017

I provvedimenti principali del Garante 15/12/2017

LE FONTI DELLE REGOLE PRIVACY
Codice
I provvedimenti
generali del Garante
Linee guida
Prescrittività
Regole generali
Prescrizioni per
specifici trattamenti
(eventuali)
Indicazioni per l’attuazione
delle regole e delle
(eventuali) prescrizioni
TalvoltailGarantenel
provvedimentodiapprovazione
dellelineeguidaadottadelle
prescrizioni
15/12/2017

Lesson
#30
Il ruolo del Garante della Protezione dei Dati Personali è stato fondamentale fino ad
oggi e lo sarà ancora in futuro, probabilmente con un ruolo anche un po’ diverso. Ci
sono varie forme con le quali può informare o emanare delle regole e sono più o meno
impositive.
15/12/2017

Provvedimento Amministratori di Sistema 15/12/2017

IL PROVVEDIMENTO DEL GARANTE DELLA PRIVACY
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati
con strumenti elettronici relativamente alle attribuzioni delle funzioni
di amministratore di sistema
Il provvedimento non riguarda esclusivamente gli amministratori di
sistemi tradizionali (personale che opera sui sistemi dove risiedono i
dati) ma in generale tutte le figure professionali (amministratori di
database, di rete, di apparati di sicurezza) le cui attività possono in
qualche misura comportare dei rischi per la protezione dei dati
Il provvedimento è entrato definitivamente in vigore il 15 dicembre
2009
15/12/2017

RESTA VALIDO CON LA NUOVA NORMATIVA?
Il provvedimento non sembra presentare incongruenze con la nuova
normativa, quindi dovrebbe restare valido anche sotto la nuova
normativa.
Opinione
personale!
15/12/2017

Lesson
#31
Il Provvedimento del Garante della Protezione dei Dati Personali relativo agli
amministratori di sistema probabilmente resterà valido in quanto non sembra essere in
contrasto con la nuova normativa.
15/12/2017

Smaltimento apparecchiature elettroniche 15/12/2017

Le misure suggerite dal Garante per una “rottamazione”
sicura di PC hanno l’obiettivo di richiamare tutti gli
utilizzatori sulla necessità di assicurare una reale ed
effettiva cancellazione dei dati o che venga garantita la
loro intelligibilità.
RIFIUTI APPARECCHIATURE ELETTRICHE ED ELETTRONICHE
(RAEE) - COME “ROTTAMARE” IL PC IN TUTTA TRANQUILLITÀ
Nota: per PC è da intendersi qualsiasi dispositivo elettronico
connesso alla rete e che può accedere ai dati. Quindi PC
Desktop, Laptop, Tablet, Smartphone, ecc.
15/12/2017

normativa.
Opinione
personale!
15/12/2017

Lesson
#32
Il Provvedimento del Garante della Protezione dei Dati Personali relativo allo
smaltimento degli apparati probabilmente resterà valido in quanto non sembra essere in
contrasto con la nuova normativa.
15/12/2017

Videosorveglianza 15/12/2017

Il Garante per la protezione dei dati personali ha varato (08/04/2010) nuove regole per i
soggetti pubblici e privati che intendono installare o hanno già adottato sistemi di
videosorveglianza.
Il nuovo provvedimento generale, che sostituisce quello emanato nel 2004, introduce
novità in considerazione:
• dell’aumento massiccio di sistemi di videosorveglianza per diverse finalità
(prevenzione reati, tutela proprietà, controllo stradale)
• dei numerosi interventi legislativi in materia (in particolare quelli che hanno
attribuito ai sindaci e comuni specifiche competenze in materia di sicurezza urbana
SISTEMI DI VIDEOSORVEGLIANZA
15/12/2017

• I cittadini che transitano in aree sorvegliate devono essere informati
con cartelli, visibili anche al buio se il sistema di videosorveglianza è
attivo in orario notturno.
• I sistemi di videosorveglianza installati da soggetti pubblici e privati
collegati alle forze dell’ordine richiedono uno specifico cartello
informativo, sulla base del modello elaborato dal Garante.
• Le telecamere installate a fini di tutela dell’ordine e della sicurezza
pubblica non hanno obbligo di essere segnalate, ma il Garante
auspica l’utilizzo di cartelli che informino i cittadini anche in questi
casi.
VIDEOSORVEGLIANZA: PRINCIPI GENERALI
15/12/2017

VA COMPRESO COME APPLICARLO ALLA VIDEO
SORVEGLIANZA DINAMICA ATTRAVERSO I DRONI
15/12/2017

normativa.
Opinione
personale!
15/12/2017

Lesson
#33
Il Provvedimento del Garante della Protezione dei Dati Personali relativo alla
videosorveglianza probabilmente resterà valido in quanto non sembra essere in contrasto
con la nuova normativa.
15/12/2017

15/12/2017

GDPR – IL DATA PROTECTION OFFICER (ART. 37)
15/12/2017

CHE COSA DEVE FARE IL DPO?
Articolo 39: Compiti del responsabile della protezione dei dati (DPO)
1. Il DPO è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché
ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente
regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei
dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati
membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del
responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle
responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle
connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla DPIA e sorvegliarne lo svolgimento ai sensi dell’articolo
35;
d) cooperare con l’autorità di controllo; e
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra
cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni
relativamente a qualunque altra questione.
15/12/2017

CHE COMPETENZE DEVE AVERE QUINDI IL DPO?
Consulenza in merito agli obblighi
derivanti dal presente regolamento
Sorvegliare l’osservanza del
presente regolamento
Fornire un parere in merito alla
DPIA
Cooperare con l’autorità di
controllo
Fungere da punto di contatto per
l’autorità di controllo
Competenze in: legge; sicurezza ICT; sicurezza fisica;
procedure; …..
Competenze in: auditing
Competenze in: risk analysis; trattamento del rischio; misure
di sicurezza (tecniche, organizzative, ecc.)
Competenze in: relazionali; gestione situazioni critiche;
auditing; …..
Competenze in: relazionali; gestione situazioni critiche;
auditing; …..
Opinione
personale!
15/12/2017

QUINDI COME SI POSIZIONA UN INGEGNERE?
Un ingegnere è adatto al mestiere di DPO ma:
• Dovrebbe appartenere al terzo settore e masticare quindi di ICT e information security;
• Dovrebbe appartenere all’ambito civile e masticare quindi di infrastrutture, protezioni
fisiche, ecc.
• Dovrebbe appartenere al settore meccanico e masticare quindi di processi industriali,
barriere, ecc.
Però dovrebbe anche essere:
• Un auditor perché deve saper verificare;
• Un avvocato e masticare quindi di leggi;
• Un esperto di sicurezza fisica e vigilanza;
• Un esperto di processi;
• …….
Opinione
personale!
15/12/2017

QUINDI COME SI POSIZIONA UN INGEGNERE?
Quindi un DPO dovrebbe essere contemporaneamente:
• Un ingegnere informatico (ed esperto di sicurezza delle informazioni);
• Un ingegnere civile;
• Un ingegnere meccanico;
• Un ingegnere gestionale;
• Un avvocato;
• Un auditor;
• Un esperto di vigilanza;
• ………..
Opinione
personale!
Quindi un DPO oggi non esiste!
Chiunque ha delle lacune da colmare, è una
figura con competenze da costruire.
15/12/2017

COME LO SI FORMA QUINDI UN DPO?
Opinione
personale!
Esperienza!
Esperienza!
Esperienza!
Esperienza!
Studio!
Studio!
Corsi!Certificazioni!
15/12/2017

TITOLI, QUALIFICHE E CERTIFICAZIONI INERENTI AL DPO
Opinione
personale!
Probabilmente il Garante della Protezione dei Dati emanerà delle regole per il DPO, in attesa di quelle
che cosa potrebbe essere attinente alla figura del DPO?
Ingegneria edile/civile
Architettura
Geometra
Giurisprudenza Ingegneria Informatica
Scienza delle infromazioni
Sicurezza
antincendio
……………
ISO/IEC 27001
ISO 22301
……
15/12/2017

CONSIGLIO NAZIONALE FORENSE E CONSIGLIO
NAZIONALE INGEGNERI
15/12/2017

Lesson
#34
La figura del Data Protection Officer non è, al momento, ancora chiara. Sicuramente le
competenze che deve avere sono ampie e complesse. Oggi c’è parecchia confusione e
presenza di qualifiche e corsi sul tema. Da capire il valore che effettivamente avranno
per ricoprire il ruolo di DPO. L’esperienza riveste un ruolo fondamentale!!!!!
15/12/2017

Conclusioni del Seminario e del ciclo di seminari15/12/2017

DOMANDE?
15/12/2017

CONCLUSIONI SUL MODULO
• La protezione dei dati è una materia regolamentata da leggi, non è ad adozione
volontaria come uno standard ISO;
• Il quadro normative non è del tutto chiaro ma comunque sono chiari i principi
fondamentali;
• Esistono standard e best practices ampie sulla sicurezza delle informazioni a cui
poter attingere per fare bene la protezione dei dati.
• …..ricordate le varie «lesson»
15/12/2017

Andrea Praitano
andrea.praitano@gmail.com
@apraitano
+39 328 8122642
it.linkedin.com/in/andreapraitano/
Commissione Sicurezza informatica
15/12/2017

Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (2017-12-15)

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (2017-12-15)

Similar to Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (2017-12-15) (20)

More from Andrea Praitano

More from Andrea Praitano (11)

Introduzione al nuovo quadro normativo Europeo per la protezione dei dati (2017-12-15)