Gestione dei dati e della sicurezza e conformità

Transcript

1 Gestione dei dati e della sicurezza e conformità Milano, 18 aprile 2013 Valentina Binasco

2 L attuale quadro normativo: un breve ripasso il Codice Privacy (D. Lgs. 196/03): riunisce in unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti negli anni Decreto «Salva Italia» (D.L. 201/2011): eliminazione delle persone giuridiche dall ambito di applicazione del Codice Decreto «Semplifica Italia» (D.L. 5/2012): abolizione DPS D. Lgs. 69 del : implementa la direttiva e-privacy (2009/136/CE) che ha introdotto il principio dell opt-in anche per i cookie

3 Il futuro quadro normativo Il "pacchetto protezione dati", presentato il 25 gennaio 2012 dalla Commissione Europea, comprende un Regolamento che sostituirà la direttiva 95/46/CE e una Direttiva che disciplinerà i trattamenti per finalità di giustizia e di polizia. Il "pacchetto " dovrà essere adottato attraverso la procedura di colegislazione, con il contributo paritario del Parlamento europeo e del Consiglio dell'unione europea. Un primo bilancio tracciato a fine 2012 ha individuato una serie di questioni aperte (es. l'introduzione di un approccio basato sul rischio del trattamento quale criterio generale per modulare gli obblighi di titolari e responsabili)

4 Il Codice della privacy Chi si occupa di sistemi informativi deve necessariamente tenere presente: l art. 3 del Codice (Principio di necessità nel trattamento dei dati) gli artt. 31 e 32 (Misure di sicurezza) gli artt. 33 e 34 (Misure minime di sicurezza)

5 Il Codice della privacy L articolo 3 sancisce il principio di necessità e impone di configurare sistemi informativi riducendo al minimo l utilizzazione dei dati personali e identificativi allo scopo di escluderne il trattamento laddove non sia indispensabile per il raggiungimento delle finalità consentite. La regola dell anonimato, quando applicabile, diventa così un criterio di progetto e un parametro di liceità del trattamento.

6 Il Codice della privacy L art. 31 impone l adozione di misure idonee e preventive Responsabilità (art. 15) «Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell art c.c.» Il danno non patrimoniale è risarcibile anche in caso di violazione dell art. 11.

7 Il Codice della privacy Misure minime di sicurezza (artt. 33, 34, Disciplinare tecnico) Sistemi di autenticazione informatica Sistemi di autorizzazione (privilegi informatici) Altre misure: antivirus, back-up, ripristino, firewall, ecc. Per la mancata adozione delle misure minime possono essere applicate rilevanti sanzioni pecuniarie e penali (anche in caso di semplice colpa: art. 169)

8 Rischi di un sistema informativo «non conforme» Un sistema informativo non conforme alla normativa in materia di privacy espone a rischi legali e reputazionali. I Provvedimenti Generali del Garante nascono a seguito di istanze pervenute nel tempo all Autorità, di accertamenti ispettivi effettuati presso i titolari del trattamento e di specifici provvedimenti adottati all esito degli accertamenti stessi. Due esempi: Prescrizioni in materia di Amministratore di sistema Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie

9 Amministratori di sistema Comunicato Stampa giugno Il Garante prescrive a un operatore telefonico misure di sicurezza più rigorose dopo un caso di trattamento illecito di tabulati telefonici «A seguito di un grave caso, sottoposto alla sua attenzione, relativo ad un'indebita consultazione di tabulati telefonici di un abbonato e alla loro illecita comunicazione, il Garante ha prescritto all operatore l'adozione di più rigorose misure di sicurezza allo scopo di evitare il ripetersi di questi casi e a protezione dei dati di tutti gli abbonati e gli utenti. Il provvedimento si è reso necessario dopo la presentazione all'autorità di un ricorso da parte di una persona il cui coniuge si è visto recapitare all'indirizzo di casa, in busta anonima, un tabulato con dati di traffico relativi a chiamate in entrata ed in uscita del cellulare, anche con informazioni sulla localizzazione.»

10 Amministratori di sistema Provvedimento Generale del 27 novembre 2008 «non soltanto in organizzazioni di piccole dimensioni, si è invece riscontrata, anche a elevati livelli di responsabilità, una carente consapevolezza delle criticità insite nello svolgimento delle predette mansioni, con preoccupante sottovalutazione dei rischi derivante dall azione incontrollata di chi dovrebbe essere preposto anche a compiti di vigilanza e controllo del corretto utilizzo di un sistema informatico.»

11 Amministratori di sistema Misure e accorgimenti tecnici organizzativi previsti dal Provvedimento Valutazione delle caratteristiche soggettive Designazioni individuali Elenco degli amministratori di sistema Servizi in outsourcing Verifica delle attività Registrazione degli accessi

12 Tracciamento operazioni bancarie Nel 2009 l Autorità accerta accessi non autorizzati a dati bancari e l omessa adozione di misure di sicurezza presso alcune banche e prescrive a queste ultime l adozione di alcune misure specifiche. Numerosi interessati avevano dichiarato di essere venuti a conoscenza che dati personali a loro riferiti, conservati nei data base di alcune banche con le quali avevano instaurato rapporti contrattuali, erano stati oggetto di indebito accesso, verosimilmente da parte di alcuni dipendenti, i quali, successivamente, li avrebbero comunicati a terzi che li avrebbero utilizzati per scopi personali e, segnatamente, in vista di una loro produzione in giudizio (di norma, in separazioni giudiziali e procedure esecutive, in particolare, in pignoramenti presso terzi). Accertamenti e provvedimenti del Garante che hanno portato al provvedimento sulla tracciabilità delle operazioni bancarie!!

13 Tracciamento operazioni bancarie Le misure necessarie sono: - Designazione dell'outsourcer quale responsabile del trattamento - Tracciamento delle operazioni - Conservazione dei log di tracciamento delle operazioni - Implementazione di alert - Audit interno di controllo - Rapporti periodici A cui si aggiungono quelle opportune: informativa all'interessato, informazioni all'interessato, comunicazioni al Garante

14 Il Garante privacy al Poligrafico: più tutele per i lavoratori Provvedimento 21 luglio 2011 Un caso emblematico L Autorità ha vietato all Istituto alcuni trattamenti illeciti effettuati sui dati personali dei dipendenti dopo un ispezione sulla corretta applicazione da parte dell Istituto della normativa in materia di protezione dei dati personali riguardo all utilizzo di Internet, posta elettronica aziendale, sistemi di telefonia su Internet (Voip), nonché per verificare la correttezza dell operato degli amministratori di sistema. Il provvedimento del Garante è stato trasmesso alla magistratura per le valutazioni di competenza. Nel corso degli accertamenti è emerso che, attraverso un sistema di filtraggio che consentiva la memorizzazione degli indirizzi delle pagine web effettivamente visitate o anche semplicemente richieste, il Poligrafico monitorava in modo sistematico e a insaputa dei dipendenti le attività su Internet, conservando le informazioni per un ampio periodo di tempo. Il Tribunale civile di Roma, in data 21 gennaio 2013, ha rigettato il ricorso presentato dal Poligrafico dello Stato avverso il provvedimento del Garante

15 Il futuro: la nuova regolamentazione comunitaria Il 25 gennaio 2012 la Commissione Europea di Bruxelles ha presentato una proposta di revisione della direttiva comunitaria sulla protezione dei dati personali, che verrà sostituita da un Regolamento. I principali punti di innovazione: aumento di responsabilità ed obblighi per le aziende rafforzamento del diritto all oblio estensione dell applicazione delle regole UE nel caso i dati personali siano trattati presso un paese extra-ue obbligo di denuncia (in capo alla società) all autorità nazionale in caso di gravi violazioni alla normativa privacy (data breach) introduzione della figura di DPO

16 Il futuro: la nuova regolamentazione comunitaria Gli incalzanti sviluppi tecnologici, la sempre maggior condivisione dei dati e il crescente ricorso alle operazioni on line rendono necessario un nuovo quadro giuridico più solido che consenta lo sviluppo dell economia digitale nel mercato interno. Il regolamento è considerato lo strumento più idoneo per definire il quadro giuridico per la protezione dei dati personali nella UE. L applicabilità diretta di un regolamento ridurrà la frammentazione giuridica e offrirà maggiore certezza giuridica grazie a una serie di norme di base armonizzate. Rispetteremo tutti le medesime regole senza possibilità di declinarle diversamente da Paese a Paese. Il Regolamento dovrebbe trovare applicazione entro due anni dalla sua entrata in vigore e sostituirà la Direttiva 95/46/EC ( Direttiva Madre ).

17 Il futuro: la nuova regolamentazione comunitaria Il regolamento introduce il principio di trasparenza e precisa il contenuto del principio di «minimizzazione». I dati personali sono: trattati in modo trasparente nei confronti dell interessato (es. informazioni chiare nell ipotesi di sub-appalti) limitati al minimo necessario rispetto alle finalità perseguite (possono essere trattati solo se e nella misura in cui le finalità non sono conseguibili attraverso il trattamento di informazioni che non contengono dati personali) conservati in una forma che consenta l identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per cui sono trattati

18 Il futuro: la nuova regolamentazione comunitaria Altre novità: il diritto alla portabilità dei dati: l interessato ha diritto di trasferire i propri dati da un sistema di trattamento automatizzato ad un altro in un formato elettronico di uso comune (es. da un fornitore di un cloud ad un altro, da un social network ad un altro) l obbligo per titolari e responsabili di adottare politiche e attuare misure adeguate per garantire e poter dimostrare la conformità del trattamento dei dati al regolamento (predisposizione e conservazione di documentazione sui trattamenti, attuazione di requisiti di sicurezza, esecuzione valutazioni d'impatto sulla protezione dei dati personali, in caso di trattamenti rischiosi) L efficacia delle misure deve essere verificata.

19 Il futuro: la nuova regolamentazione comunitaria Altre novità: privacy by design: misure e procedure tecniche e organizzative preventive per garantire la protezione dei dati sin dal momento della progettazione del trattamento) privacy di default: l obbligo per titolari e responsabili di attuare misure adeguate per garantire, di default, il trattamento dei soli dati strettamente necessari e la loro accessibilità da parte di un numero determinato di persone adozione di misure di sicurezza idonee, previa valutazione dei rischi (ritorna il DPS!) data breach: obbligo di notificare le violazione di dati personali (es. furto/smarrimento dati) alle autorità e ai diretti interessati (attualmente i fornitori di servizi di comunicazione hanno già quest obbligo) designazione di un Data Protection Officer interno all azienda o esterno, indipendente, competente e in relazione diretta con il vertice aziendale.