La gestione di un data breach

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "La gestione di un data breach"

Camillo Carli
6 anni fa
Visualizzazioni

1 La gestione di un data breach Jonathan Brera Milano #READY4EUDATAP

2 Agenda Il concetto di data breach Contesto normativo di riferimento Il processo di data breach management Quali deliverable devono essere realizzati I principali elementi di criticità Q&A

perdita, la modifica, la rivelazione non autorizzata o l accesso ai dati personali trasmessi,

3 Il concetto di data breach La violazione di dati personali ( personal data breach ) è definita come violazione degli aspetti di sicurezza che comporta - anche accidentalmente- la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico.

4 Il concetto di data breach Ma quanto possono essere considerati rilevanti tali eventi, in particolare per l'ambito italiano? In Italia nel 2014 è stato condotto uno studio 1 dalla Ponemon Institute per identificare su base nazionale i costi legati ai data breach. Lo studio è stato condotto considerando 22 realtà aziendali, appartenenti a settori industriali differenti, per le quali si sono registrati eventi di violazione dati. Note: 1 Studio condotto dal Ponemon Institute rif. "2015 Cost of Data Breach Study: Italy". 2 Costo calcolato come rapporto tra la somma totale dei costi sul numero di dati complessivamente compromessi.

della normativa comunitaria e successivamente ripreso a livello normativo

5 Contesto normativo di riferimento Il requisito di necessità di opportuna gestione dei data breach è stato in precedenza già definito nel contesto della normativa comunitaria e successivamente ripreso a livello normativo privacy italiano ed ora è ripreso esplicitamente anche dal GDPR Prima valido per ambito TLC

6 Contesto normativo di riferimento La normativa attuale italiana prevede una serie strutturata di requisiti per l'ambito TLC che devono essere opportunamente rispettati operando su più livelli Gestione della sicurezza e delle violazioni A fronte di una attenta analisi dei rischi, di provvedere ad individuare e mettere in campo adeguate misure di sicurezza, in relazione al rischio esistente sotteso ai possibili scenari / profili di violazione dei dati personali della clientela. Comunicazione eventi di violazione Comunicare, senza indebiti ritardi, la violazione al Garante Privacy; Comunicare, senza indebiti ritardi, la violazione anche al contraente o altra persona quando la violazione rischia di arrecare pregiudizio ai loro dati personali ed alla loro riservatezza; Tenuta Inventario delle violazioni Tenuta di un inventario aggiornato delle violazioni, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, al fine di consentire al Garante Privacy di verificare il rispetto delle disposizioni. Sanzioni Violazione dell'obbligo di comunicazione al Garante privacy Sanzione amministrativa tra e (per singolo caso). Violazione dell'obbligo di comunicazione al Contraente sanzione amministrativa 1 tra 150 e (per singolo caso). Violazione dell obbligo di tenuta dell inventario è punita con la sanzione amministrativa tra e Sanzione penale per falsità nelle comunicazioni al Garante privacy delle violazioni di dati personali. (reclusione da 6 mesi a 3 anni) Note 1: L1mite massimo del 5% del fatturato dell Operatore

7 Contesto normativo di riferimento All'interno dell'ultima bozza del Nuovo Regolamento Europeo in ambito privacy sono stati identificati i requisiti specifici per gli eventi di data breach dalla comparazione con la normativa italiana attuale è possibile evidenziare quanto segue

8 Contesto normativo di riferimento In particolare gli articoli di maggior rilievo (art.31 e art.32) evidenziano quanto sotto riportato Art.31 Norma le comunicazioni da fare alle Autorità in caso di data breach. In capo al controller la comunicazione entro 72 ore dalla conoscenz del data breach (in caso contrario necessaria giustificazione) Indicati I contenuti minimi della comunicazione (natura dei dati, numero di interessati impattati, contatti di riferimento, conseguenze Obbligo di documentazione (e mantenimento) dei data breach Art.32 Norma le comunicazioni da fare agli interessati in caso di data breach La comunicazione deve essere Chiara Comunicazione non richiesta in caso di adozione di particolari misure di protezione (e.g. crittografia), ci sono elementi compensativei che diminuiscono il rischio o se richiede troppe risorse

9 Il processo di data breach management La gestione complessiva di un breach dovrebbe svilupparsi secondo il flusso evidenziato

10 Il processo di data breach management La gestione complessiva di un breach dovrebbe svilupparsi secondo il flusso evidenziato

11 Il processo di data breach management La gestione complessiva di un breach dovrebbe svilupparsi secondo il flusso evidenziato

12 Il processo di data breach management La gestione complessiva di un breach dovrebbe svilupparsi secondo il flusso evidenziato

13 Quali deliverable devono essere realizzati?

14 I principali elementi di criticità Nel processo di progettazione complessiva di gestione di eventuali data breach i seguenti elementi devono essere opportunamente indirizzati

Documenti analoghi

Il nuovo regolamento europeo sulla privacy (GDPR): i nuovi adempimenti per la pubblica amministrazione, le imprese e le strutture sanitarie

Il nuovo regolamento europeo sulla privacy (GDPR): i nuovi adempimenti per la pubblica amministrazione, le imprese e le strutture sanitarie La gestione degli incidenti informatici (violazioni dati) connessi