IL CANTIERE GDPR APPROCCIO PER VALUTARE L ADEGUAMENTO ALLE NORME REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (REG.

Transcript

1 REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (REG. (UE) 2016/679) IL CANTIERE GDPR APPROCCIO PER VALUTARE L ADEGUAMENTO ALLE NORME CONVEGNO GLOBE TORINO 9 GIUGNO2017 1

2 GDPR = Sistema di trasmissione Articoli di legge = anelli della catena Contesti = corone (legale, organizzativo, tecnologico, personale, processi funzionali,.. ) Dati digitali e non = denti By 2

3 1 Dove si colloca Schema generale di gestione aziendale completo elaborato da Ing. G. Gaetani della società Gruppo 2G 3

4 2 - La proposta Visione dell organizzazione nella sua globalità o olistica Intervento di competenze diverse: Legale Organizzativa Tecnologica 4

5 2 La proposta Chi fa che cosa macro attività # Attività Chi Legale Organizzativa Tecnologica 1 Analisi tipologie di processi X X 2 Analisi tipologie di dati trattati e delle modalità del loro trattamento X X 3 Acquisire informazioni su risorse con le quali si procede al trattamento di dati (di proprietà o di terzi) X X 4 Acquisire informazioni su modalità di trattamento e/o collaborano al trattamento di dati e evidenza della relativa documentazione contrattuale X X 5 Valutare se la persona giuridica è tenuta a tenere il registro delle attività di trattamento X X 6 Valutare se la persona giuridica è tenuta a realizzare la PIA X X 7 Valutare se è tenuta a provvedere alla notifica al Garante della Privacy e alla comunicazione all interessato in caso di violazione dei dati personali X X 8 Valutare se la persona giuridica è tenuta a designare il DPO X X 9 Valutare se è tenuta ad adempiere a codici di condotta approvati dalla Commissione UE X X 10 Valutare l adeguatezza degli strumenti e dei sistemi protezione dei dati dalla progettazione (vedi art. 25) X 11 Analisi dei processi DLP sia per le funzioni sia per le modalità (vedi artt. 25 e 32) X 12 Valutare l adeguatezza degli strumenti, dei sistemi e del software per l application security (vedi art. 25) X 13 Valutare l adeguatezza degli strumenti e dei sistemi per la sicurezza del trattamento dei dati (vedi art. 32 paragrafi 1 e 2) X 14 Assistenza alla realizzazione della PIA prevista dall articolo 35 X X 5

6 2 La proposta Chi fa che cosa Gantt qualitativo Aree Tecnologica Organizzativa Legale Inizio Inizio Fine Fine Fine 6

7 ADESSO.. METTIAMO IN RELAZIONE LALEGGE CON I PROCESSI FUNZIONALI E GLI STRUMENTI INFORMATICI. CON SINTESI FINALE. 7

8 3 La modalità d intervento Legge / Tecnologia Area TECNOLOGICA Valutare l adeguatezza degli strumenti e dei sistemi in essere e l eventuale necessità di adottarne di nuovi al fine di soddisfare i requisiti previsti (capire che cosa vuole la legge) dagli articoli 25 e 32, in particolare: 1. protezione dei dati dalla progettazione (art. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita ) 2. application security (art. 25) 3. data loss e leak prevention (DLP) sia per le funzioni sia per le modalità (artt. 25 e 32 Sicurezza del trattamento ) 8

9 3 La modalità d intervento Legge / Tecnologia LEGGE Art Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita 1 dice:... sia al momento di determinare i mezzi del trattamento (software di «qualità») sia all atto del trattamento stesso (procedure online o batch) il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione (storicizzazione - vedi considerando 156).. 2 dice: Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità (profili) del trattamento... 3 dice: Un meccanismo di certificazione approvato ai sensi dell articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo Art Sicurezza del trattamento (uso di sistemi software + hardware) 1 dice: Tenendo conto dello stato dell arte. come anche del rischio (art PIA) di varia probabilità e gravità. il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (misure di attenuazione del danno e riduzione della probabilità),. se del caso a) la pseudonimizzazione e la cifratura dei dati personale % Change Management Ciclo di vita del sw Sicurezza perimetrale Solo dati necessari e controllo anomalie o errori Protezione dei dati TECNOLOGIA 1. Mezzi del trattamento (software di «qualità») - procedure per testare, verificare e valutare regolarmente l efficacia delle misure tecniche (software) e organizzative sia nel ciclo di vita del software in ambiente di Sviluppo sia in Esercizio al fine di garantire la sicurezza del trattamento: a. la riduzione o l annullamento della vulnerabilità (es.: istruzioni del sorgente) con strumenti di: analisi STATICA (STATIC APPLICATION SECURITY TESTING) test DINAMICO (DYNAMIC APPLICATION SECURITY TESTING) test PT (PENETRATION TESTING) test INTERATTIVO (INTERACTIVE APPLICATION SECURITY TESTING) protezione RUNTIME (RUNTIME APPLICATION SELF PROTECTION) protezione del WEB (WEB APPLICATION FIREWALL) b. controllo accessi e profili utenze con strumenti di: identificazione e di controllo degli accessi raccolta e di classificazione dei dati (impostazione predefinita) analisi dei log e di monitoraggio 2. Strumenti per la: Pseudonimizzazione, Minimizzazione, Cifratura 9

10 3 La modalità d intervento Legge / Tecnologia LEGGE TECNOLOGIA continua l art. 32 b) la capacità di assicurare su base permanente la riservatezza (controllo degli accessi 1 e 2 liv. ), l integrità (alterazione), la disponibilità (Backup e Restore; sistemi di continuità) e la resilienza dei sistemi (SW + HW BC o DR) e dei servizi di trattamento (BC e DR) c) la capacità di ripristinare tempestivamente la disponibilità e l accesso dei dati personali in caso di incidente fisico o tecnico (BC e DR) d) una procedura per testare, verificare e valutare regolarmente l efficacia delle misure tecniche (SW + HW) e organizzative (ciclo di vita del SW -sviluppo e esercizio-: SW, processi e ruoli) al fine di garantire la sicurezza del trattamento 2 dice: si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione (loss), dalla perdita (loss), dalla modifica (loss), dalla divulgazione (leak; estrusione) non autorizzata o dall accesso (leak; intrusione), in modo accidentale o illegale, a dati personali trasmessi (in movimento), conservati (a riposo) o comunque trattati (in uso) ATTENZIONE! Introduzione dei processi per la gestione del DLP 3. Disponibilità del dato: procedure e programmi di Backup e Restore; strumenti di analisi dei log e di monitoraggio 4. Resilienza dei sistemi SW, HD e servizi di trattamento: procedure e programmi di Backup e Restore, strumenti di analisi dei log e di monitoraggio 5. Incidente fisico o tecnico: procedure tecniche ed organizzative per la gestione della Business Continuity ed il Disaster Recovery 6. Distruzione (loss), Perdita (loss), Modifica (loss), Divulgazione (leak; estrusione) non autorizzata o Accesso (leak; intrusione), di dati personali 7. Trasmessi (in movimento), Conservati (a riposo), Trattati (in uso) 10

11 SINTESI FINALE 11

12 Partnership sulla sicurezza 12

13 4 La documentazione 1. Registri delle attività di trattamento art. 30 Registri delle attività di trattamento : 1: registro a carico del Titolare del trattamento o al suo rappresentante 2: registro a carico del Responsabile del trattamento o al suo rappresentante e i medici ospedalieri? Sì, sono R.d.T. 2. Manuale PIA (Privacy Impact Assessment art. 35 Valutazione d impatto sulla protezione dei dati ) ISO/IEC Linee Guida del DPO (Data Protection Officer artt. 37, 38 e 39 Responsabile della Protezione dei Dati ) 16/EN WP 243 versione 1 del 5 aprile Manuale DLP (Data Loss e Leak Prevention derivato dall art. 32 Sicurezza del trattamento ): definizione, policy, processi 13