Nuovo Regolamento EU sulla Privacy le attività intraprese e pianificate dal GdR AIEA Sessione di Studio ISACA-AIEA 13/12/ Milano

Transcript

1 Nuovo Regolamento EU sulla Privacy le attività intraprese e pianificate dal GdR AIEA Sessione di Studio ISACA-AIEA 13/12/ Milano Alberto Piamonte Giancarlo Butti, (LA BS7799), (LA ISO 27001), ISM, CRISC Alberto Piamonte - Giancarlo Butti - SdS ISACA - AIEA -13/12/2012

2 Indice Perchéil GdR Dove siamo con Regolamento EU Piano di lavoro GdR

3 Perché Monitor EU & ISACA Costituire interlocutore IT per vari enti : suggerimenti / commenti / chiarimenti Focalpoint Produrre documentazione utile al nostro tipo di attività

4 GDR Privacy AIEA Composizione Paola Galasso Natale Prampolini Giulio Spreafico Cesare Gallotti Fabio Nervegna Giancarlo Butti Massimo Mundula Alberto Piamonte

5 Nuova normativa privacy UE Regolamento UE Il regolamento una volta approvato diventa immediatamente operativo in tutti gli stati UE senza necessità di ulteriori interventi La normativa comunitaria è prioritaria in caso di difformità da quella nazionale Direttiva UE Relativa a tematiche specifiche (trattamento dei dati a fini di prevenzione, indagine, accertamento o perseguimento dei reati e nell ambito delle connesse attività giudiziarie)

6 Nuova normativa privacy UE Regolamento UE Il regolamento esprime indicazioni di principio, non legate alla tecnologia Commissione Alla Commissione è conferito il potere di adottare atti delegati

7 Nuova normativa privacy UE Tempistiche Entro metà 2013 pubblicazione della versione definitiva, con poche variazioni rispetto all attuale Entro l attuale legislatura approvazione definitiva (giugno 2014) Due anni dalla approvazione il periodo di adeguamento

8 Nuova normativa privacy UE Aree possibili variazioni ulteriore riduzione degli oneri amministrativi per le imprese atti delegati e di esecuzione - attribuzione di poteri alla Commissione questione della flessibilità per il settore pubblico

9 ISACA Privacy compliance laws: Why the European Commission finally got it right by Marc Vael - International vice president of ISACA Obsolescenza della normativa attuale (1995) solo l 1% dei cittadini utilizzava internet Frammentarietà nel recepimento nei 27 paesi

10 ISACA Cambiamenti chiave della sono: Un unico insieme di norme valide in tutta l'ue Abolizione di requisiti amministrativi inutili (risparmio di 2.3 miliardi all'anno) Maggiore responsabilità per il trattamento dei dati personali Notifica alle autorità di gravi violazioni dei dati (se possibile entro 24 ore) Unica autorità nazionale di riferimento per le aziende : (dove hanno) la sede principale e per gli interessati (anche per dati trattati all estero) Il consenso al trattamento, quando richiesto deve essere esplicito Accesso più facile ai propri dati da parte degli interessati che potranno trasferirli un fornitore di servizi a un altro più facilmente Diritto all oblio; gli interessati potranno cancellare i propri dati se non vi sono motivi legittimi per il loro mantenimento Le norme comunitarie valgono anche per i dati personali trattati all'estero da imprese che operano nel mercato dell'ue e offrono servizi ai cittadini dell'ue Saranno rafforzate le autorità nazionali Sanzioni fino a 1 milioni di euro o al 2 per cento del fatturato globale annuo di una società Nuova direttiva per la protezione dei dati in ambito giudiziario e polizia

11 Punti chiave del Regolamento Applicazione della norma anche fuori dall UE Protezione fin dalla progettazione e protezione di default Documentazione Responsabilità Obbligo di notifica delle violazioni all autorità ed agli interessati Aumento notevole delle sanzioni Consenso esplicito Diritto all oblio ed alla cancellazione Diritto alla portabilità dei dati Obbligo di istituzione del Data Protection Officier Regole per il trasferimento dati a terzi Codici di condotta e certificazione

12 GDR Privacy AIEA Punti aperti Articolo 2 Campo di applicazione materiale 1. Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi. Dall articolo 4 riprendiamo la definizione di archivio: (4) archivio : qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

13 GDR Privacy AIEA Punti aperti Articolo 3 Campo di applicazione territoriale Il presente regolamento si applica al trattamento dei dati personali di residenti nell Unione effettuato da un responsabile del trattamento che non è stabilito nell Unione, quando le attività di trattamento riguardano: a) l offerta di beni o la prestazione di servizi ai suddetti residenti nell Unione, oppure b) il controllo del loro comportamento.

14 GDR Privacy AIEA Punti aperti Articolo 4 Definizioni (1) interessato : la persona fisica identificata o identificabile, direttamente o indirettamente, con mezzi che il responsabile del trattamento o altra persona fisica o giuridica ragionevolmente può utilizzare, con particolare riferimento a un numero di identificazione, a dati relativi all ubicazione, a un identificativo on line o a uno o più elementi caratteristici della sua identità genetica, fisica, fisiologica, psichica, economica, culturale o sociale;

15 Monitor EU & ISACA

16 Produrre documentazione utile al nostro tipo di attività Per ogni articolo : Mappatura 196 Analisi «pratica»

17 Confronto 196/03 Rif. Article 2 - Material scope Rif 196 e note 1 Dlgs 196 Art. 6. Disciplina del trattamento L applicazione della norma si limita ai seguenti casi: trattamento interamente o parzialmente automatizzato di dati personali trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi La 196/03 estendeva la tutela anche ai trattamenti di dati personali non registrati in una banca di dati ; non richiedeva per i trattamenti 1 Dlgs 196 Art. 4. Definizioni * 1. a) 1 Dlgs 196 Art. 4. Definizioni * 3. b) 2 (a) n.a. 2 (b) n.a. 2 (c) Dlgs 196 Art. 58. Disposizioni applicabili Direttive EU - Trattato sull'unione europea 2 (d) Dlgs 196 Art. 5. Oggetto ed ambito di applicazione 3. 2 (e) Dlgs 196 Art. 47. Trattamenti per ragioni di giustizia 2 (e) Dlgs 196 Art. 53. Ambito applicativo e titolari dei trattamenti 3 Direttive EU Direttiva 2000/31/CE del Parlamento europeo e del Consiglio dell'8 giugno 2000

18 Analisi Analisi Classificazione Purpose - EU Finalità/Scopo Applicabile a : Risultato / esito / conseguenze attesi (Outcomes) Article 2 - Material scope L articolo identifica l ambito di applicazione e di esclusione della normativa. Rispetto al Dlgs 196/03 tale ambito appare più limitato in quanto sono previste fra l altro una serie di esclusioni. determines the material scope of the Regulation. L articolo mira a definire quali siano i dati personali effettivamente tutelati dalla normativa e quali invece ne sono esclusi Mappatura dei trattamenti effettuati e della modalità di trattamento. Individuazione dei casi di esclusione di applicazione della normativa. Pratiche / Prassi Input Policy di progettazione, realizzazione e mantenimento delle misure tecniche e organizzative; Piano di sensibilizzazione e formazione del personale; Inventario dei dati trattati Inventario dei trattamenti Inventario delle risorse (umane, tecnologiche ed applicative) coinvolte nei trattamenti Output Ruoli Standard di riferimento Inventario dei soggetti esterni che partecipano al trattamento durante tutte le sue fasi Identificazione dei dati tutelati dalla normativa, dei processi che li vedono coinvolti, dei soggetti che trattano i dati Responsabile Incaricato Chiavi di ricerca Note

19 Riferimenti Documenti da produrre Documento è Art EU Output of Article 26 - Processor Accordi di riservatezza con il personale Article 27 - Processing under the Output of authority of the controller and processor Accordi tra le parti (corresponsabili) Output of Article 24 - Joint controllers Allarmi Input to Article 32 - Communication of a personal data breach to the data subject Input to Article 30 - Security of processing Analisi dei rischi e impatto delle violazioni alla norma Input to Article 33 - Data protection impact assessment Input to Article 34 - Prior authorisation and prior consultation Architetture in essere Input to Article 32 - Communication of a personal data breach to the data subject Autorizzazione e/o consultazione preventiva Output of Article 34 - Prior authorisation and prior consultation Caratteristiche dei verificatori (auditor) per dimostrarne Article 22 - Responsibility of the Input to l indipendenza o il ruolo di revisore interno controller Classificazione dei dati trattati Output of Article 4 - Definitions Classificazione dei soggetti tutelati Output of Article 4 - Definitions Codici di Condotta Output of Article 38 - Codes of conduct Comma 4: le osservazioni degli interessati o dei loro Article 33 - Data protection Input to rappresentanti sul trattamento previsto impact assessment Contratti o accordi con fornitori (incaricati e corresponsabili) e con i clienti (responsabili o Output of Article 26 - Processor corresponsabili) Danni Input to Article 32 - Communication of a personal data breach to the data subject Article 27 - Processing under the

20 Riferimenti Policies Policy Art EU Accertamento da parte del responsabile della presenza di un Article 25 - Representatives of controllers not rappresentante nella UE dei propri fornitori established in the Union Accordi tra le parti con indicate le finalità, le condizioni e i mezzi di trattamento dei dati e le procedure di comunicazione tra le parti e con gli Article 24 - Joint controllers interessati Article 31 - Notification of a personal data Analisi degli incidenti breach to the supervisory authority Article 30 - Security of processing Article 33 - Data protection impact Best Practices per la sicurezza delle informazioni assessment Article 34 - Prior authorisation and prior consultation Article 31 - Notification of a personal data Composizione della comunicazione per l autorità di controllo breach to the supervisory authority Article 32 - Communication of a personal data Composizione della comunicazione per l interessato breach to the data subject Article 31 - Notification of a personal data Definizione delle azioni correttive breach to the supervisory authority Disporre di un elenco dei fornitori e stabilire con loro i necessari accordi Article 26 - Processor Elenco delle misure e procedure di sicurezza delle informazioni Article 22 - Responsibility of the controller Gestione controllata (versionamento, responsabilità) delle istruzioni e loro Article 26 - Processor diffusione ai fornitori Gestione controllata (versionamento, responsabilità, distribuzione) delle Article 27 - Processing under the authority of istruzioni (incluse le autorizzazioni per l accesso ai dati, eventualmente the controller and processor implicite nel ruolo) al personale Gestione della documentazione (versionamento, autorità, archiviazione, Article 28 - Documentation distribuzione, dismissione) Istruzioni per il trattamento dei dati Article 26 - Processor Piano di sensibilizzazione e formazione del personale; Article 2 - Material scope Policy aziendale per il corretto trattamento dei dati, dalla loro raccolta alla conservazione Policy di progettazione, realizzazione e mantenimento delle misure Article 2 - Material scope

21 Riferimenti Dlg 196 /2003 Art. 1. Diritto alla protezione dei dati personali Articolo 196 Riferimento a Regolamento EU Nome c. sc. Art. 2. Finalità Article 1 - Subject matter and objectives Article 5 - Principles relating to personal Art. 3. Principio di necessità nel trattamento dei dati data processing - (c) Article 23 - Data protection by design and by default a) Article 2 - Material scope - 1 Article 4 - Definitions - 3 b) Article 4 - Definitions - 1 Article 4 - Definitions - 2 d) Article 4 - Definitions - 12 Article 4 - Definitions f) Article 24 - Joint controllers Art. 4. Definizioni * g) Article 4 - Definitions - 6 i) Article 4 - Definitions - 1 Article 4 - Definitions - 2 p) Article 4 - Definitions - 4 q) Article 4 - Definitions b) Article 2 - Material scope - 1 g) Article 4 - Definitions - 9 Art. 5. Oggetto ed ambito di applicazione 1. Article 3 - Territorial scope - 1

22 Grazie per l attenzione Riferimenti alberto.piamonte@alice.it giancarlo.butti@promo.it g.butti@bancopopolare.it