Rischi sui Dati di studio:

Transcript

1 Rischi sui Dati di studio: Valutare le Incertezze per salvaguardare le attività 21 Luglio 2017 ODCEC di Roma - P.le Belle Arti, 2 Dott. Alessandro Parisi Security Data Scientist Data Protection Officer Ethical Hacker

2 La centralità dei Dati Siamo chiamati ad operare in un contesto di riferimento apparentemente contraddittorio, caratterizzato da: - centralità della gestione dei dati personali, tipica di una economia data driven - valutazione normativa del trattamento dei dati personali, considerato alla stregua di attività pericolosa (ex art cc) Come si conciliano tra loro le diverse esigenze di gestione dei dati e di tutela della riservatezza?

3 Privacy: Cosa prevede la Riforma La normativa Privacy viene riformata dal regolamento Ue 679/2016, composto di ben 99 articoli, e dalla direttiva n. 680/2016/Ue. L applicazione delle nuove norme decorre dal 25 maggio 2018, e queste sono immediatamente opera!ve, in quan! «il regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri». La riforma introduce nuovi principi ispiratori di particolare interesse operativo, oltre che normativo

4 Privacy: i principi ispiratori della Riforma Tra i conce" più originali introdotti dalla riforma della disciplina sulla tutela della Riservatezza, possiamo ricordare: - Introduzione del diritto all oblio - obblighi di accountability - viene introdotta la privacy by design - viene previsto il criterio privacy by default I nuovi principi ispiratori della Riforma della Tutela della Riservatezza hanno conseguenze importanti

5 Diritto all Oblio e procedure informatiche Con il riconoscimento del diritto all Oblio viene prevista la cancellazione dei dati a cascata : - il considerando 66 del preambolo esplicita le implicazioni in ambito informatico connesse all'esercizio del diritto all'oblio da parte dell'interessato, evidenziando come la richiesta della cancellazione sia estesa, a cura del titolare del trattamento principale, agli ulteriori titolari del trattamento, che devono a loro volta procedere alla cancellazione di ogni link verso tali dati personali (incluse relative copie, o riproduzioni). L esercizio del diritto all Oblio comporta l adeguamento delle procedure informatiche estendendo la richiesta verso gli altri Titolari del Trattamento

6 Accountability e nuove Responsabilità Il principio dell accountability si riferisce ai seguenti aspetti: - rendere noto all esterno, in modo esaustivo e comprensibile, l esatto utilizzo delle risorse nel perseguire obiettivi di trattamento in linea con gli scopi istituzionali; - adozione di strumenti volti a responsabilizzare le aziende sull impiego di tali risorse e dei risultati connessi a tale impiego; - doveri di trasparenza e garanzia di accessibilità alle informazioni. L Accountability si sostanzia in doveri di trasparenza e accessibilità riguardo le modalità di trattamento adottate

7 Ai sensi dell'art. 25 del Regolamento UE: Valutazione dei Rischi - il titolare adotta misure tecniche e organizzative adeguate, volte a conseguire in modo efficace la minimizzazione dei rischi connessi al trattamento; - necessità di valutazione dei rischi, in termini di probabilità e gravità, per i diri" e le libertà delle persone sia in fase di individuazione dei mezzi di trattamento, sia all atto del trattamento stesso; La corretta valutazione dei rischi connessi al trattamento dei dati è di centrale importanza nell ambito della tutela Privacy, che si traduce nei seguenti principi:

8 Privacy by Design Privacy by Design (Protezione dei dati fin dalla progettazione) Occorre implementare adeguate misure tecniche e organizzative volte a minimizzare i rischi per la riservatezza degli interessati, già in sede di progettazione delle procedure del trattamento dati, oltre che all atto dell esecuzione del trattamento stesso

9 Privacy by Default Il trattamento dei dati deve prevedere di default che: - i da! devono essere tra#a! solamente per le finalità previste e per il tempo strettamente necessario; - vengono trattati solo i dati personali strettamente necessari per le finalità specifiche del trattamento; - non siano resi accessibili automaticamente dati personali a un numero indefinito di soggetti. Quindi di default è necessario ridurre al minimo il numero dei dati trattati in base alle finalità specifiche (no raccolta dati a strascico )

10 Comunicazione dei Data Breaches Il legislatore comunitario prevede l obbligo di comunicare le ipotesi di violazione dei dati personali ( Data Breaches ). In modo particolare: - l'art. 33 del regolamento prescrive, per il titolare del trattamento, il dovere di informare l Autorità nazionale di protezione dei dati (Garante Privacy); - l'art. 34 prevede che nel caso in cui il data breach possa me#ere a rischio i diri" e le libertà delle persone fisiche (quali ad es. la frode, il furto di iden!tà, il danno di immagine), il titolare debba informare anche tutti gli interessati fornendo indicazioni su come intenda limitare le possibili conseguenze negative

11 Comunicazione Data Breach: deroghe Il!tolare del tra#amento può non informare gli interessati nei casi in cui: - ritenga che la violazione non comporti un rischio elevato per i diritti degli interessati; - ha adottato misure di sicurezza, quali la cifratura dei dati oggetto di violazione; - l'obbligo informativo potrebbe comportare uno sforzo sproporzionato, in relazione all alto numero di persone coinvolte Attenzione: Il Garante della Privacy può sempre imporre al Titolare di comunicare i Data Breaches agli Interessati

12 Data Breach: Valutazioni del Garante All Autorità Garante viene riservata un'autonoma valutazione dei rischi connessi ai Data Breaches, nonchè della valutazione dei requisiti che integrano i casi di esonero dall'obbligo di comunicazione agli interessati, con il conseguente potere riconosciuto al Garante di imporre al Titolare del trattamento di provvedere comunque alla comunicazione del Data Breach agli interessati, qualora questi non vi abbia già provveduto autonomamente

13 Cloud Computing e Sicurezza dei Dati L'adozione del Cloud Computing comporta dei benefici indubbi in relazione alla messa in sicurezza dei dati, in quanto solleva soprattutto le strutture operative più piccole dall'onere di gestire in proprio un'architettura di sicurezza adeguata, consentendo la possibilità di centralizzare le più comuni attività di sicurezza informatica; Occorre tuttavia valutare attentamente i servizi Cloud che si sottoscrivono verificandone le condizioni contrattuali, adeguandoli alle proprie specifiche esigenze operative, anche in relazione alle normative di riferimento sulla Privacy.

14 Cloud e Trasferimento Dati extra-ue Il Regolamento UE prevede garanzie rigorose per il trasferimento dei dati al di fuori dell Unione Europea, vietando il trasferimento di dati personali verso Paesi extra-ue oppure verso Organizzazioni Internazionali che non rispondono ai modelli di adeguatezza in tema di tutela dei dati personali rispe#o ai quali il Regolamento prevede criteri di valutazione più stringenti. In assenza di un riconoscimento di adeguatezza da parte della Commissione europea, i titolari potranno comunque adottare per il trasferimento dei dati al di fuori della UE specifiche garanzie contrattuali, osservando le norme dettagliate e vincolanti previste dal Regolamento UE. In assenza di garanzie contrattuali o riconoscimenti di adeguatezza, i dati potranno essere trasferiti unicamente a seguito del consenso esplicito dell interessato

15 Cloud: l Estremizzazione dei Rischi L'adozione del Cloud computing riduce i rischi più comuni di attacchi informatici, in virtù della centralizzazione delle attività di monitoring e di remediation; tuttavia, la stessa centralizzazione contribuisce ad estendere la superficie di attacco potenziale, determinando la possibile insorgenza di effetti a cascata nel caso di scoperta di vulnerabilità afferenti l'infrastruttura Cloud stessa:

16 Cloud: l Estremizzazione dei Rischi (2) Si profila quindi la possibilità di una distribuzione Paretiana (20/80) dei rischi di sicurezza: Eventi Rari, ma ad Impatto Rilevante in buona sostanza, ci potremmo trovare di fronte ad eventi rari il cui impatto però può essere potenzialmente devastante!

17 Cloud Computing e Disaster Recovery In un'economia data driven la perdita di dati può mettere a repentaglio la Business Continuity, oltre ad esporre a responsabilità verso terzi (vedi il caso dei Data Breaches); è necessario pertanto mettere in sicurezza i dati che non ci si può permettere di perdere (anche nel caso di adozione di architetture di Cloud Computing) mediante la definizione di opportune procedure di Disaster Recovery In tal senso, è indispensabile una preliminare attività di Risk Assessment condotta sul proprio patrimonio informativo

18 Grazie per l attenzione! Per Info e Contatti: sicurezzasostenibile@gmail.com