Sicurezza informatica: la normativa come strumento di governance

Transcript

1 Sicurezza informatica: la normativa come strumento di governance Avv. Alessandro Cecchetti Vice General Project Manager Colin & Partners Project Manager Business Unit Privacy

2 Cloud: aspetti giuridici rilevanti Potere negoziale ; Proprietà delle informazioni; Legge applicabile e foro competente; Allocazione dei dati; Clausole Vessatorie e specifica approvazione per iscritto; Modalità di migrazione dei dati in caso di cambio fornitore; Cancellazione dei dati all interruzione del rapporto; Livelli di servizio: PLA e SLA; Privacy e Data Protection; Tematiche che incidono sulla governance aziendale del fruitore Tematiche/ Rapporto tra fornitore e fruitore CLOUD Tutela del patrimonio aziendale

3 Privacy e Data Protection Le figure coinvolte: Titolare, Responsabile ed Incaricati Il problema del sub-appalto e le catene di nomine a responsabile I sub-fornitori: un Responsabile può nominare un altro Responsabile? (Provv. Garante Privacy 29 novembre 2012) Cliente Titolare Fornitore Responsabile Sub-Fornitore Responsabile Art.29 Codice Privacy: Il Responsabile è designato facoltativamente dal Titolare Che fare? il Fornitore deve informare il proprio Cliente-Titolare che intende avvalersi di sub-fornitori; il Cliente-Titolare deve acconsentire alla sub-fornitura; il Responsabile deve sottoscrivere con i sub-fornitori degli accordi che li vincoli a tutti gli obblighi di sicurezza che ha assunto con il Cliente-Titolare; tali accordi dovranno essere inviati al Cliente-Titolare, il quale dovrà altresì essere tenuto informato delle eventuali modifiche, procedendo nel caso ad ulteriori invii.

4 Privacy e Data Protection Gli Amministratori di Sistema (Provv. Garante Privacy 27 novembre 2008) Adempimenti Documentali: nomine, informativa AdS, informativa dipendenti, regolarizzazione dei rapporti con gli esterni Adempimenti Tecnici: loggatura, descrizione degli eventi di accesso, conservazione almeno semestrale, relazione annuale Nel Cloud il Cliente Titolare dei dati dovrà: Verificare che il cloud provider ponga in essere le misure organizzative e tecniche previste dal provvedimento per gli amministratori di sistemi interni alla propria organizzazione Verificare la disponibilità del cloud provider a fornire l elenco degli ads su richiesta del Titolare

5 Gli aspetti documentali del Regolamento in materia di Data Protection Obblighi Informativi; Privacy by design e privacy by default: clausole contrattuali; SLA (Service Level Agreement) e PLA (Privacy Level Agreement); Joint Controller; PIA (Privacy Impact Assessment);

6 Gli aspetti documentali del Regolamento in materia di Data Protection Data Breach; Definizione dei ruoli dei soggetti interni ed esterni coinvolti nel trattamento; Accordi infragruppo; Accountability; Audit; Formalizzazione del DPO;

7 Privacy e Reati Informatici Societas delinquere non potest? Il D.Lgs. 231/2001 Tale riferimento normativo ha introdotto nel nostro ordinamento la responsabilità degli enti per illecito amministrativo dipendente da reato L. 28/2008 ha introdotto nel Decreto 231l art. 24-bis in materia di Delitti Informatici Si ha esonero da responsabilità (esclusione colpevolezza) se l ente prova che: 1) Ha preventivamente adottato ed attuato efficacemente modelli organizzativi e di gestione idonei ad individuare e prevenire reati della specie di quelli verificatosi; 2) Ha affidato ad un proprio organo - dotato di poteri autonomi di iniziativa e controllo il compito di vigilare sul funzionamento e l osservanza dei modelli e di curarne il loro aggiornamento; 3) La violazione fraudolenta dei modelli da parte degli autori del reato; 4) La diligenza dell ODV e dei soggetti incaricati della gestione e del controllo; Attenzione Le suddette 4 condizioni devono sussistere contemporaneamente; se ne manca anche una sola l ente è pienamente responsabile.

8 Il Regolamento Informatico interno Il controllo a distanza dell attività lavorativa dei dipendenti art. 4 L. 300/1970 Statuto dei Lavoratori; Il Garante Privacy al Poligrafico: più tutele per i lavoratori (Provv. 21 luglio 2011); Il principio della Gradualità dei controlli; Il BYOD (Bring Your Own Device); Lavoro: le linee guida del Garante per posta elettronica e internet - Gazzetta Ufficiale n. 58 del 10 marzo 2007; In generale, il contenuto del Regolamento Informatico: L Ambito di applicazione - L assegnazione degli account e gestione delle password - Le postazioni di lavoro e criteri di utilizzo degli strumenti informatici (distinzione tra hardware e software) - Personal computer e computer portatili (Software, Dispositivi di memoria portatili, Stampanti, fotocopiatrici e fax, strumenti di fonia mobile e/o di connettività in mobilità) - Le comunicazioni telematiche (La rete internet, la posta elettronica aziendale) - Disposizioni finali (Sanzioni, Informativa ex art. 13 d.lgs. 196/2003 agli utenti)

9 Privacy by Design Privacy by Default Riferimento normativo: ARTICOLO 23 BOZZA DEL NUOVO REGOLAMENTO SULLA DATA PROTECTION Al momento di determinare i mezzi del trattamento e all atto del trattamento stesso, il responsabile (in Italia, il Titolare) del trattamento, tenuto conto dell evoluzione tecnica e dei costi di attuazione, mette in atto adeguate misure e procedure tecniche e organizzative in modo tale che il trattamento sia conforme al presente regolamento e assicuri la tutela dei diritti dell interessato. Il responsabile del trattamento mette in atto meccanismi per garantire che siano trattati, di default solo i dati personali necessari per ciascuna specifica finalità del trattamento e che, in particolare, la quantità dei dati raccolti e la durata della loro conservazione non vadano oltre il minimo necessario per le finalità perseguite. Nello specifico, detti meccanismi garantiscono che, di default, non siano resi accessibili dati personali ad un numero indefinito di persone.

10 Privacy by Design Privacy by Default La privacy by design riguarda molteplici aspetti: la tecnologia (es. misure di sicurezza o tecniche di oscuramento dati, anonimizzazione, pseudonimizzazione, etc. ); le pratiche commerciali (es. quantità e qualità di dati acquisiti in una campagna marketing, tempi di conservazione c.d. minimizzazione); progettazione di strutture ed infrastruttura (es. videosorveglianza, ma anche accessi, o definizione di piattaforme deputate al trattamento);

11 Privacy by Design Privacy by Default I principi che la regolano sono: atteggiamento iniziale proattivo e non reattivo: privacy impact assessment per alcuni trattamenti (biometria geolocalizzazione videos. Profilazione ecc) nel PIA dovranno essere indicati i rischi per l interessato, per i dati, le procedure tecniche e organizzative per ovviare ai rischi individuati, ma anche le procedure e le figure coinvolte per redigere le PIA e per revisionarla anche (es. qnd cambia il tratt.to o ci sono modifiche normative od organizzative interne). Prevedere anche data breach magari. protezione dell intero ciclo vita delle informazioni (es. la sicurezza della cancellazione della migrazione o della portabilità); visibilità e trasparenza del trattamento (informative e certificazioni di conformità privacy); la riservatezza dell interessato deve essere intesa come centrale (es. conciliando la sicurezza con la riservatezza); In ultimo, la privacy by design deve riguardare ogni trattamento (o strumento deputato ad effettuarlo es. software) già dalla fase di progettazione (ed i fornitori dovranno garantirla contrattualmente o il titolare dovrà adoperarsi per ottenerla nel negozio).

12 Grazie! Avv. Alessandro Cecchetti Copyright Il materiale didattico (ivi inclusi, ma non limitatamente, il testo, immagini, fotografie, grafica) è di proprietà esclusiva e riservata della società Colin & Partners Srl, e protetto dalle leggi sul copyright ed in generale dalle vigenti norme nazionali ed internazionali in materia. Il materiale fornito potrà essere riprodotto solo a scopo didattico per il presente corso ed ogni altra riproduzione o utilizzo in toto o in parte è vietata salvo esplicita autorizzazione per scritto e a priori da parte della Colin & Partners Srl. Le informazioni contenute nel materiale didattico sono da ritenersi esatte esclusivamente alla data di svolgimento del corso e potranno essere soggette a variazioni, in base alle modifiche legislative intervenute, in relazione alle quali la Colin & Partners Srl non si assume l onere di inviare l aggiornamento, salvo diversamente stabilito contrattualmente tra le parti. Contatti Sede legale e amministrativa: Via Cividale, 51 Montecatini Terme (PT) Tel Fax Partita Iva e Codice Fiscale: Le nostre sedi: Montecatini Terme (PT), Roma, Milano, Lucca Per richieste progetti e preventivi: info@consulentelegaleinformatico.it Per organizzare eventi e corsi di formazione: comunicazione@consulentelegaleinformatico.it Seguici su: