Protect what you value. Comprendere le attuali normative sulla privacy

Transcript

1 Protect what you value. Comprendere le attuali normative sulla privacy

2 Comprendere le attuali normative sulla privacy I governi e le organizzazioni private di tutto il mondo riconoscono la necessità di proteggere efficacemente la privacy dei dati. Al crescere della quantità di informazioni personali raccolte e memorizzate in formato elettronico, aumentano anche le preoccupazioni riguardo alla protezione di tali informazioni. Le aspettative sulla privacy sono praticamente universali e le normative continuano ad evolversi per garantire il mantenimento della privacy. Di seguito viene fornita una panoramica delle normative in vigore in vari paesi del mondo, messe in atto allo scopo di creare linee guida sui metodi di archiviazione e condivisione delle informazioni personali senza comprometterne la privacy. Leggi e normative in materia di notifica delle violazioni sulla sicurezza dei dati personali negli Stati Uniti Sebbene il governo federale degli Stati Uniti (U.S.A.) non abbia emanato una legislazione in materia di notifica delle violazioni di sicurezza, in buona parte degli Stati, simili leggi sono in vigore dal Tali normative sono state emanate in risposta ad un numero crescente di violazioni di database di consumatori contenenti informazioni personali. Ad oggi, 43 stati*, il Distretto della Columbia e Puerto Rico hanno promulgato leggi che obbligano ad avvisare le persone fisiche di eventuali violazioni della sicurezza riguardanti le informazioni personali. La legge sulle violazioni della sicurezza dei dati della California, California SB 1386 (nota anche come Consumer Data Protection Act - Legge per la tutela dei dati dei consumatori), ha costituito un modello per la creazione di leggi simili in altri stati. La legge California SB 1386 richiede che un'agenzia statale, una persona fisica o un'azienda impegnate in attività commerciali in California ed in possesso, o aventi licenza d'uso, di dati in formato elettronico comprendenti informazioni personali, come da definizione, comunichi, in modi specifici, ogni eventuale violazione della sicurezza dei dati, come da definizione, ad ogni cittadino residente in California le cui informazioni personali non crittografate siano state acquisite, o è ragionevole credere che siano state acquisite, da persone non autorizzate. Le informazioni personali comprendono il numero di sicurezza sociale, il numero della patente, il numero del conto bancario, il numero della carta di debito o di credito, oppure il codice o la password di sicurezza per l'accesso a un conto finanziario. Molte delle leggi statali in vigore e dei disegni di legge in discussione hanno le seguenti caratteristiche in comune: Informazioni personali: generalmente, le informazioni personali sono definite come l'insieme del nome della persona (o l'iniziale del nome e il cognome) unito a dati identificativi quali il numero di sicurezza sociale, il numero della patente, il numero della carta di identità, il numero della carta di debito o di credito con codice di accesso o password, la data di nascita o i dati biometrici. Requisiti per la notifica: qualunque persona fisica o azienda e, di solito, qualunque agenzia statale che sia in possesso, abbia ottenuto in licenza, o sia responsabile di dati contenenti informazioni personali e che ritenga ragionevolmente che a tali informazioni abbiano avuto accesso persone non autorizzate, è tenuta ad avvisare i residenti dello stato interessati. Procedure di notifica: gli individui le cui informazioni personali sono state compromesse, devono essere informati. Tempestività delle notifiche: molte delle leggi richiedono semplicemente una notifica entro un intervallo di tempo ragionevole, sebbene alcune definiscano tempi specifici. Safe Harbor e crittografia I requisiti per la notifica delle violazioni variano da stato a stato, ma tutti i disegni di legge prevedono la fornitura di un safe-harbor, un sito sicuro per i dati crittografati. Usando la crittogfrafia per garantire le informazioni personali, le organizzazione possono evitare di essere soggette ai requisiti di notifica pubblica in caso di perdita o furto di informazioni personali o di accesso alle stesse da parte di persone non autorizzate. Generalmente, le organizzazioni devono sempre segnalare le violazioni delle leggi. Protezione dei dati nell'unione Europea In generale, le aspettative relative alla privacy sono viste come un "diritto umano fondamentale" nell'unione Europea (U.E.). La protezione della privacy individuale e la gestione dei dati personali dei cittadini dell'unione Europea sono considerate molto seriamente. Nell'Unione Europea, per "dati personali" si intendono tutti i dati relativi a un individuo identificabile. L'Unione Europea ha emesso una direttiva sulla protezione dei dati (DPD) (95/46/CE) per garantire la protezione dei dati personali di ciascun cittadino dell'unione. Tale DPD influenza il modo in cui ogni organizzazione che assuma o conduca affari con i cittadini dell'unione Europea deve trattare i loro dati. La direttiva DPD stabilisce un'infrastruttura normativa per cercare di trovare un equilibrio fra alto livello di protezione della privacy degli individui e libero scambio dei dati personali all'interno dell'unione Europea. La direttiva stabilisce dei limiti molto rigorosi sulla raccolta e l'uso di dati personali. Ad ogni stato membro viene richiesto di istituire un organismo nazionale indipendente, responsabile della *Arizona, Arkansas, California, Colorado, Connecticut, Delaware, Florida, Georgia, Hawaii, Idaho, Illinois, Indiana, Iowa, Kansas, Louisiana, Maine, Maryland, Massachusetts, Michigan, Minnesota, Montana, Nebraska, Nevada, New Hampshire, New Jersey, New York, North Carolina, North Dakota, Ohio, Oklahoma, Oregon, Pennsylvania, Rhode Island, South Carolina, Tennessee, Texas, Utah, Vermont, Virginia, Washington, West Virginia, Wisconsin e Wyoming 2

3 protezione di tali dati. Un'altra sezione della direttiva invita gli stati membri a determinare con precisione le condizioni in cui il trattamento di tali dati è considerato legale. La direttiva DPD afferma che i dati personali devono essere: elaborati onestamente e nel rispetto della legge raccolti per scopi specifici, espliciti e legittimi adeguati, pertinenti e non eccessivi in riferimento agli scopi per cui sono stati raccolti conservati in una forma che consenta l'identificazione dei soggetti per un periodo non superiore al necessario Safe Harbor per le organizzazioni statunitensi che ricevono dati personali dall'unione Europea Gli Stati Uniti e l'unione Europea condividono lo scopo di garantire la protezione della privacy ai loro cittadini, ma hanno approcci diversi per la privacy. Per colmare tali differenze e semplificare il compito di conformarsi con la direttiva DPD alle organizzazioni statunitensi, il Department of Commerce (Dipartimento del commercio) degli U.S.A. dopo aver consultato l'unione Europea ha sviluppato un'infrastruttura Safe Harbor. Safe Harbor è un programma volontario applicato dalla Federal Trade Commission (FTC), (Commissione federale per il commercio) statunitense. Per garantirsi i vantaggi del Safe Harbor, le organizzazioni devono annualmente autocertificare per scritto al Department of Commerce (Dipartimento del commercio) che accettano di aderire ai requisiti del Safe Harbor. Tali requisiti comprendono elementi quali la notifica, la scelta, l'accesso e l'applicazione. Inoltre le organizzazioni devono dichiarare l'aderenza al Safe Harbor nelle loro privacy-policy pubblicate. Il Department of Commerce (Dipartimento del commercio) mantiene un elenco di tutte le organizzazioni che presentano lettere di autocertificazione. L'elenco delle lettere di autocertificazione è disponibile al pubblico. Legislazione sulla protezione dei dati in Australia L'Australia ha approvato un Privacy Act (Legge sulla Privacy) nel Tale legge stabilisce i National Privacy Principles (NPPs) (principi nazionali sulla privacy) che sono in linea con quelli contenuti nella direttiva DPD dell'unione Europea. I principi NPP del Privacy Act si applicano a: enti governativi del Commonwealth e Australian Capital Territory (A.C.T.) (Territorio della Capitale Australiana) organizzazioni di Credit-reporting tutte le organizzazioni del settore privato con un giro d'affari superiore a 3 milioni di dollari servizi di assistenza sanitaria trader di informazioni personali fornitori del governo australiano, se le loro attività rientrano nell'ambito del contratto Le pene principali previste dall'australian Privacy Act (Legge sulla Privacy australiana) sono pecuniarie. In alcuni casi, quali la mancata partecipazione di una persona riconosciuta colpevole di un illecito previsto dalla legge a un colloquio fissato dal commissario, la mancata partecipazione a un'udienza davanti al commissario o la mancata dichiarazione quando ne esiste la richiesta, la fornitura di false informazioni e l'omissione di informazioni, può essere comminata una pena detentiva. Legislazione sulla protezione dei dati in Canada In Canada, il 1 gennaio 2001 è entrato in vigore il Personal Information Protection and Electronic Documents Act (PIPEDA) (Legge sulla tutela dei dati personali e dei documenti elettronici). Riguarda le organizzazioni sottoposte alle leggi federali come compagnie aeree, banche e organizzazione di emittenza radiotelevisiva. Tutte le altre organizzazioni sono state incluse dal 1 gennaio I diritti garantiti agli individui dal PIPEDA sono in linea con quelli stabiliti nella direttiva sulla tutela dei dati personali (DPD) dell'unione Europea. PIPEDA mette a disposizione del tribunale "mezzi di tutela" specifici "oltre a qualunque altro mezzo disponibile". Comprendono: imposizione ad un organismo di provvedere a correggere le proprie procedure imposizione ad un organismo di pubblicare una notifica in merito a qualsiasi azione intrapresa o che si intende intraprendere per correggere le procedure concessione del risarcimento per danni al querelante, "incluso i danni derivanti dalle umiliazioni subite dal querelante" Legislazione sulla protezione dei dati in Giappone In Giappone, la Legge per la tutela dei dati personali (PIPA) è entrata in vigore dal 1 aprile Ai sensi della normativa PIPA, per informazioni personali o dati personali si intendono informazioni relative ad un individuo dalle quali è possibile identificare tale individuo. Queste possono includere il nome, la data di nascita o altre informazioni relative alla persona. Le informazioni relative a stranieri, siano essi residenti o meno, sono considerate informazioni personali. La normativa PIPA si applica ai Gestori di informazioni personali (Personal Information Handlers - PIHs), vale a dire società o persone che utilizzano database contenenti informazioni personali di oltre individui (almeno una volta nell'arco di 6 mesi) allo scopo di condurre attività commerciali in Giappone. Una società straniera che possiede filiali con sede in Giappone può essere definita un PIH. Una società straniera che non ha filiali in Giappone non è un PIH. Un PIH deve agire in conformità con diverse limitazioni relative al trattamento dei dati personali. Tali limitazioni sono in linea con le direttive definite nella direttiva DPD dell'unione Europea. 3

4 In caso di violazione di una o più delle direttive della normativa PIPA, il ministero o l'agenzia competente in materia di attività dei PIH può avvisare il PIH di cessare l'attività illegale. Qualora il PIH non risponda con un'azione adeguata e sussista il rischio concreto della violazione di importanti diritti individuali, il ministero competente può imporre al PIH di cessare l'attività illegale. Qualora il PIH ignori l'ordine ricevuto, il dirigente o dipendente del PIH responsabile dell'attività illegale può essere soggetto a sanzioni o detenzione. Legislazione sulla protezione dei dati in altri paesi Asia e Oceania Corea del Sud Legge sulla promozione dell uso di informazioni e rete di comunicazioni e la tutela dei dati, 2005 Hong Kong Ordinanza sui dati personali (Privacy), 1996 Nuova Zelanda Privacy Act (Legge sulla privacy), 1993 Taiwan Legge sulla protezione dei dati personali in formato elettronico, 1995 America Centrale e Meridionale Argentina Protezione dei dati personali (Legge ), 2000 Bermuda Electronic Transactions Act (Legge sulle transazioni elettroniche), 1999 Cile Legge per la protezione della vita privata (N 19628), 1999 Paraguay Legge sulla tutela dei dati, 2001 Europa, Medio Oriente e Africa Austria (membro dell'unione Europea) Legge federale sulla protezione dei dati personali (Datenschutzgesetz o DSG), 2000 Belgio (membro dell'unione Europea) Legge sulla tutela della vita privata 8 dicembre 1992 in relazione al trattamento dei dati personali emendata dalla legge 11 dicembre 1998 che implementa la Direttiva 95/46/CE Bulgaria Legge sulla protezione dei dati personali, 2002 Cipro (membro dell'unione Europea) Trattamento dei dati personali (Protezione dell'individuo) Legge 138(1), 2001 Danimarca (membro dell'unione Europea) Legge 429 sul trattamento dei dati personali, 2000 Estonia (membro dell'unione Europea) Legge sulla protezione dei dati personali, 2003 Finlandia (membro dell'unione Europea) Legge sui dati personali (Legge 523), 1999 Francia (membro dell'unione Europea) Legge del 6 agosto 2004 che modifica la legge del 6 gennaio 1978 relativa alla tutela delle persone fisiche e del trattamento dei dati personali Germania (membro dell'unione Europea) Legge federale sulla tutela dei dati personali (Bundesdatenschutzgesetz o BDSG), 2001 Grecia (membro dell'unione Europea) Legge 2472/1997 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali successivamente emendata dalle leggi 2819/2000 e 2915/2000 Irlanda (membro dell Unione Europea) Data Protection Act, 1988 (amended 2003) (Legge sulla tutela dei dati, 1988 (e successivo emendamento del 2003)) Islanda Legge sulla tutela e il trattamento dei dati personali (N 77), 2000 Israele Legge sulla tutela della Privacy, 1981 Italia (membro dell'unione Europea) Codice in materia di protezione dei dati personali (Decreto legislativo n. 196), 2003 Lettonia (membro dell'unione Europea) Legge sulla tutela dei dati personali, 2000 Liechtenstein Legge sulla tutela dei dati, 2002 Lituania (membro dell'unione Europea) Legge sulla tutela legale dei dati personali, 1996 (e successivi emendamenti del 2000 e 2003) Lussemburgo (membro dell'unione Europea) Legge del 2 agosto 2002 sulla tutela delle persone con riguardo al trattamento dei dati personali Malta (membro dell'unione Europea) Legge sulla tutela dei dati, 2001 Norvegia Legge sui dati personali, 2000 Olanda (membro dell'unione Europea) Legge sulla tutela dei dati personali (Wet Bescherming Persoonsgegevens o WBP),

5 Polonia (membro dell'unione Europea) Legge sulla tutela dei dati personali, 1997 (e successivo emendamento del 2004) Portogallo (membro dell'unione Europea) Legge sulla tutela dei dati personali, 1998 Regno Unito (membro dell Unione Europea) Legge sulla tutela dei dati, 1998 Repubblica Ceca (membro dell Unione Europea) Legge 101 sulla protezione dei dati personali ed emendamenti ad alcune leggi correlate, 2000) Repubblica del Sudafrica Legge per promuovere l'accesso alle informazioni, 2000 Romania Legge N 677/2001 per la tutela delle persone fisiche relativamente al trattamento dei dati personali e alla libera circolazione di tali dati Russia Legge della Federazione Russa sulle informazioni, l'informatizzazione e la tutela delle informazioni, 1995 Slovacchia (membro dell'unione Europea) Legge sulla tutela dei dati personali, 2002 (e successivo emendamento del 2005) Slovenia (membro dell'unione Europea) Legge sulla protezione dei dati personali, 1999 Spagna (membro dell'unione Europea) Legge organica 15/1999 sulla tutela dei dati personali Svezia (membro dell'unione Europea) Legge sui dati personali, 1998 Svizzera Legge federale sulla tutela dei dati, 1993 Ungheria (membro dell Unione Europea) Legge LXIII del 1992 relativa alla tutela dei dati personali e alla diffusione di dati di pubblico interesse, successivamente emendata dalla legge parlamentare N XLVIII, 2003 PCI DSS: Uno standard del settore applicato in tutto il mondo Le leggi internazioni descritte nella precedente sezione mirano alla tutela generale dei dati personali. In risposta all'aumento di frodi sulle carte di credito, anche il settore delle carte di pagamento ha creato un proprio gruppo di requisiti relativi alla sicurezza dei dati. Lo standard Payment Card Industry Data Security Standard (PCI DSS) è stato originariamente creato come linea guida per aiutare le organizzazioni che elaborano i pagamenti tramite carte a prevenire frodi, manomissioni e altri rischi per la sicurezza delle carte stesse. È stato sviluppato dal PCI Security Standards Council, fondato da American Express, Discover Financial Services, JCB International, MasterCard Worldwide e Visa Inc. Oggi, il PCI DSS è diventato molto di più di una linea guida. Tutte le aziende che operano utilizzando carte di credito e le aziende appartenenti al PCI Security Standards Council o in rapporti di affari con esso, devono aderire al PCI DSS. Tali aziende comprendono: Visa MasterCard Diners Club American Express Discover Commercianti Terzi gestori di dati Banche membri (per Visa e American Express) Il mancato rispetto del PCI DSS può portare a sanzioni severe: sanzioni per le inadempienze fino a dollari per evento se i dati del possessore della carta non sono stati compromessi sanzioni per le inadempienze fino a dollari per evento se i dati del possessore della carta sono stati compromessi perdita della possibilità di gestire i pagamenti con carta di credito Minnesota e Texas hanno approvato normative basate sui principali requisiti del PCI DSS e altri stati stanno valutando normative simili. Nessuno stato degli Stati Uniti ammette l'ignoranza della legge come difesa legittima, anche laddove la legge non è stata approvata. Conclusioni Sono stati spesi miliardi di dollari per implementare sistemi che garantiscano la conformità con tali normative. Tuttavia l'inadeguatezza di molte organizzazioni è palese. Oltre a proteggere i dati, è necessario anche dimostrare che i dati sono protetti. Che faccia parte di una verifica finanziaria o di un processo di produzione di documenti legali, le organizzazioni devono essere in grado di dimostrare irrefutabilmente chi, cosa, dove, quando e come sono state protette le informazioni oppure far fronte a sanzioni penali, responsabilità legali, degrado del marchio, perdita di fiducia da parte dei clienti, ecc. Nel valutare tali normative e le soluzioni più adatte alla propria organizzazione, è importante ricordare che la messa in atto senza prove è una mancanza di una parte critica nel complesso puzzle della conformità. Pertanto è indispensabile assicurarsi che le soluzioni scelte consentano di dimostrare, rapidamente e con decisione, che i dati erano correttamente protetti. 5

6 McAfee Ireland Ltd. 11 Eastgate Avenue Eastgate Business Park Little Island, Cork Ireland +353 (21) McAfee, Inc. Non può essere riprodotta alcuna parte del presente documento senza esplicito permesso scritto di McAfee, Inc. Le informazioni fornite in questo documento hanno puri fini educativi e a favore dei clienti di McAfee. Le informazioni contenute nel presente documento sono soggette a modifica senza preavviso e vengono fornite così come sono senza alcuna garanzia relativamente alla loro precisione o applicabilità a qualunque situazione specifica o circostanza. McAfee, Avert e Avert Labs sono marchi commerciali o marchi registrati di McAfee, Inc. negli Stati Uniti e in altri paesi. Tutti gli altri nomi e marchi possono essere di proprietà di altri. 6