Privacy by design: le nuove norme europee che rivoluzioneranno (anche in Ital...
Tutela e sicurezza digitale delle aziende ai tempi del GDPR (avv. Maggipinto)
1. +
Tutela e sicurezza digitale delle
aziende ai tempi del GDPR
(estratto)
Avv. Andrea Maggipinto (www.maggipinto.eu)
Ing. Igor Serraino (www.serraino.it)
2. Agenda
GDPR, accountability e sicurezza dei dati
«Data Breach»: profili legali
«Data Breach»: profili tecnologici
Ransomware e tecniche di logging
3. GDPR in breve
REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e del
Consiglio del 27 aprile 2016 relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonché alla libera
circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento
generale sulla protezione dei dati)
➢ In vigore dal: 24 maggio 2016
➢ Piena applicazione dal: 25 maggio 2018
➢ Sistematica: 173 considerando, 99 articoli, XI capi, importanti
abrogazioni (dir.95/46/CE)
Tips: http://www.garanteprivacy.it/regolamentoue
4. GDPR in breve
«Diritto all’oblio» (art. 17)
«Diritto alla portabilità dei dati» (art. 20)
«Accountability» (Responsabilizzazione: art. 24)
«Privacy by default» e «Privacy by design» (Protezione dei dati fin dalla
progettazione e protezione per impostazione predefinita: art. 25)
«Registri delle attività» (art. 30)
«Data Breach» (Notifica di violazione dati personali: artt. 33-34)
«DPIA» e «Risk-based approach» (Valutazione d’impatto sulla protezione
dei dati: art. 35)
«DPO» (Designazione del Responsabile della Protezione Dati: art. 37)
«One-stop-shop» (Competenza dell'autorità di controllo capofila: art. 56)
5. Sicurezza dei dati
Articolo 5 - Principi applicabili al trattamento di dati personali
«1. I dati personali sono: […] f) trattati in maniera da garantire
un’adeguata sicurezza dei dati personali, compresa la
protezione, mediante misure tecniche e organizzative
adeguate, da trattamenti non autorizzati o illeciti e dalla
perdita, dalla distruzione o dal danno accidentali («integrità e
riservatezza»)».
6. Art. 32 GDPR
1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura,
dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di
varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del
trattamento e il responsabile del trattamento mettono in atto misure tecniche e
organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
pseudonimizzazione e cifratura;
capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e
la resilienza dei sistemi e dei servizi di trattamento;
capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in
caso di incidente fisico o tecnico;
procedura per testare, verificare e valutare regolarmente l’efficacia delle misure
tecniche e organizzative al fine di garantire la sicurezza del trattamento
Sicurezza dei dati
7. Data Breach = Violazione dei dati
Art. 4: «violazione dei dati personali»: la violazione di sicurezza che
comporta accidentalmente o in modo illecito la distruzione, la perdita, la
modifica, la divulgazione non autorizzata o l’accesso ai dati personali
trasmessi, conservati o comunque trattati
Security Incident
event that may indicate that an
organization's systems or data
have been compromised or
that measures put in place to
protect them have failed.
Personal
Data
Breach
Violazione Know
How aziendale e
informazioni
riservate
8. Tipologie di Data Breach
❖ Confidentiality breach (accesso, divulgazione)
❖ Integrity breach (alterazione)
❖ Availability breach (perdita, distruzione)
9. Gestione del «data breach»
Comunicazione
agli interessati
(art. 34)
Notifica
all’Autorità di
controllo (art. 33)
72 ore
Incidente
se vi è rischio per i
diritti e le libertà
se il rischio è
elevato
10. Notifica al Garante (art. 33)
Articolo 33 - Notifica di una violazione dei dati personali
all’autorità di controllo
1. In caso di violazione dei dati personali, il titolare del trattamento
notifica la violazione all’autorità di controllo … senza ingiustificato
ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto
a conoscenza, a meno che sia improbabile che la violazione dei dati
personali presenti un rischio per i diritti e le libertà delle persone
fisiche. Qualora la notifica all’autorità di controllo non sia effettuata
entro 72 ore, è corredata dei motivi del ritardo.
11. Notifica al Garante (art. 33)
2. Il responsabile del trattamento informa il titolare del trattamento senza
ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
3. La notifica di cui al paragrafo 1 deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove
possibile, le categorie e il numero approssimativo di interessati in questione
nonché le categorie e il numero approssimativo di registrazioni dei dati
personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione
dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l’adozione da parte del
titolare del trattamento per porre rimedio alla violazione dei dati personali e
anche, se del caso, per attenuarne i possibili effetti negativi.
12. Comunicazione agli interessati (art. 34)
Articolo 34 - Comunicazione di una violazione dei dati personali
all’interessato
1. Quando la violazione dei dati personali è suscettibile di presentare un
rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del
trattamento comunica la violazione all’interessato senza ingiustificato
ritardo.
2. La comunicazione all’interessato di cui al paragrafo 1 del presente
articolo descrive con un linguaggio semplice e chiaro la natura della
violazione dei dati personali e contiene almeno le informazioni e le
misure di cui all’articolo 33, paragrafo 3, lettere b), c) e d).
13. Comunicazione agli interessati (art. 34)
3. Non è richiesta la comunicazione all’interessato di cui al paragrafo 1
se è soddisfatta una delle seguenti condizioni:
a) il titolare del trattamento ha messo in atto le misure tecniche e
organizzative adeguate di protezione e tali misure erano state applicate ai
dati personali oggetto della violazione, in particolare quelle destinate a
rendere i dati personali incomprensibili a chiunque non sia autorizzato
ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a
scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà
degli interessati di cui al paragrafo 1;
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si
procede invece a una comunicazione pubblica o a una misura simile,
tramite la quale gli interessati sono informati con analoga efficacia.
14. Comunicazione agli interessati (art. 34)
4. Nel caso in cui il titolare del trattamento non abbia ancora
comunicato all’interessato la violazione dei dati personali, l’autorità di
controllo può richiedere, dopo aver valutato la probabilità che la
violazione dei dati personali presenti un rischio elevato, che vi
provveda o può decidere che una delle condizioni di cui al paragrafo 3
è soddisfatta.
15. Non «adeguata sicurezza»
La capacità di individuare, affrontare e notificare una violazione in
tempi brevi, e comunque adeguati, è elemento essenziale per la
compliance al GDPR. È parte integrante di quelle «misure
adeguate» previste dall’art. 32.
Non rispettare la procedura di notifica di Data Breach può essere visto
come una mancanza di «adeguata sicurezza» nel trattamento dei dati.
Violazione della normativa anche ex art. 32, e non solo ex
art. 33.
Sanzioni (art. 83, c. 4).
16. Accountability e gestione dei «sinistri»
I titolari sono tenuti ad adottare un “Registro degli incidenti” anche se
non rilevanti ai fini della notificazione (art. 33 c. 5).
Key points:
▪ cause
▪ descrizione della violazione
▪ dati personali compromessi
▪ effetti e conseguenze della violazione
▪ rimedi e provvedimenti presi, ragioni per queste azioni
▪ ragionamento del Titolare che ha escluso l’obbligo di notifica
▪ motivi dell’eventuale ritardo nella notificazione
Adozione di una procedura interna di allerta (WP29). È opportuno
fornire la prova di aver istruito adeguamente gli incaricati.
17. Procedura di notifica di Data Breach
* Attuale modello di
notifica per i fornitori di
servizi di comunicazione
elettronica