www.pwc.com La corretta gestione dei processi informatici del nuovo GDPR Dino Ponghetti - Brescia, 16 marzo 2018 dino.ponghetti@pwc.com
L ICT in versione «classica» INTERNET END USER FIREWALL Hardware, processori DATABASE SHARE Infrastruttura on-premises 2
L ICT: il percorso di evoluzione ON-PREMISES CLOUD COMPUTING OUTSOURCING Infrastructure as a Service (IaaS) Platform as a Service (PaaS) Software as a Service (SaaS) END USER INTERNET OF DESKTOP MOBILE 3 THINGS
Ed i social media? Fig. 1.1 Cosa è un social media? Fonte: Digital In 2017 We are social and Hootsuite 4
La percezione del ruolo dei sistemi ICT nel contesto del GDPR I nostri clienti ci hanno chiesto «Perché dobbiamo analizzare anche i sistemi ICT?» In base a quanto previsto dall articolo 32, il GDPR ha previsto che il titolare deve mettere in atto misure tecniche ed organizzative al fine di garantire, un adeguato livello di sicurezza al trattamento dei dati «Quali sono i sistemi da analizzare e come li definisco» Tutti i sistemi, db, nonché strumenti informatici (es. cartelle di rete) utilizzati dall Azienda per effettuare trattamenti. e noi cosa abbiamo risposto! «La privacy non è un qualcosa che si gestisce solo il nostro legale?» No, poiché il GDPR ha da una parte rafforzato le misure «tecniche» già previste dalla precedente norma; da un altra parte, invece, il GDPR ha introdotto nuovi concetti (es. data portability) e requisiti tecnologici (es. cancellazione dei dati) che per forza di cose portano la privacy ad essere gestita in modo organico a livello azienda coinvolgendo quindi in maniera imprescindibile anche soggetti che non operano in una funzione legale. «Devo anche considerare i database? Anche se non strutturati? I database vanno analizzati nella misura in cui gli stessi vengono impiegati per effettuare trattamenti. «Mi raccomando: sui sistemi dateci da fare il minimo indispensabile!» Non esiste un set minimo di requisiti ma un set di misure tecniche ed organizzative da porre in atto in base alla tipologia di dato ed in base ai trattamenti effettuati. «Quale formula applicate per definire i sistemi da analizzare?» Quella specifica per la Tua realtà 5
Quali sono gli impatti sull IT? Gli impatti sull ICT sono «diffusi» nel Regolamento, tra i principali possiamo menzionare: «Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita» (art. 25) «Sicurezza del trattamento» (art. 32) Notifica di una violazione di dati personali all autorità di controllo (art. 33) Privacy-by-design Le misure di sicurezza devono essere individuate in fase di progettazione dei sistemi informativi. I Titolari, ed il loro Resp. ICT, devono iniziare a pensare alla privacy già in fase di progettazione coinvolgendo gli esperti di sicurezza fin dalle prime fasi del processo di sviluppo. Minimizzazione Mascheratura Privacy-by-default L adeguamento prosegue per tutto il ciclo di vita del software. Scrambling 6
«Sicurezza del trattamento» (art. 32) MISURE DI SICUREZZA Punto di attenzione: le «Misure di sicurezza» non sono definite a livello tecnico, ma viene richiesto che siano adeguate al rischio. Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento». Valutazione del rischio potenziale per l individuo Predisposizione delle misure tecniche adeguate 7
«Sicurezza del trattamento» (art. 32) L applicazione delle misure di sicurezza non è più direttamente collegata ad un requisito normativo esplicito che descriva le misure minime da implementare, ma viene introdotto il principio di «misure adeguate» al fine di presidiare in modo corretto i rischi legati alla gestione dei dati personali e valutabili in funzione delle finalità e del contesto in cui questi dati vengono utilizzati. Sviluppo sicuro Pseudonominizzazione Crittografia Anonimizzazione Antivirus Password Policy Data Protection Impact Assessment La valutazione degli impatti deve essere fatta ex-ante il trattamento dei dati e deve dare origine ad una valutazione del rischio. Livello di Rischio Alto La valutazione del rischio deve essere aggiornata a fronte di variazioni rilevanti del contesto o dei potenziali impatti. Basso Misure di sicurezza Alte Basse Le misure di sicurezza possono essere quindi un mix di processi, tecnologie e formazione e devono garantire: l integrità dei dati personali; la sicurezza dei sistemi e dei servizi che trattano i dati personali; la possibilità di data recovery in caso di incidente fisico o tecnico; l accesso ai dati soltanto da parte del personale autorizzato e solo per gli scopi previsti dalla legge. Anti-spam Segregazione dei compiti Training & Awareness Intrusion Prevention System Firewall Disaster Recovery Backup & Restore SIEM 8
Notifica di una violazione di dati personali all autorità di controllo (art. 33) DATA BREACH NOTIFICATION DATA BREACH Accesso non autorizzato ai dati personali, distruzione accidentale o perdita dei dati, divulgazione, modificazione, copia o rimozione in assenza di autorizzazione. Il Regolamento prevede obblighi informativi in capo al titolare del trattamento in caso di personal data breach sia nei confronti della competente Autorità di controllo senza ritardo e, ove possibile, entro 72 ore dal momento in cui ne è giunto a conoscenza, sia nei confronti dell interessato, nel caso in cui dalla violazione possa derivare un elevato rischio per i diritti e le libertà dell individuo. Il responsabile deve documentare la violazione dei dati personali, incluse le circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi rimedio. La notifica deve contenere: Natura della violazione dei dati; Identità e coordinate di contatto del Data Protection Officer; Conseguenze della violazione; Misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione, incluse quelle per attenuarne gli effetti. Non è richiesta nel caso in cui: 1) siano state adottate misure tecniche ed organizzative tali da rendere i dati non intellegibili per i non autorizzati; 2) siano adottate misure idonee ad evitare il sopraggiungere di un rischio elevato per gli interessati; 3) la comunicazione implicherebbe sforzi sproporzionati. 9
Notifica di una violazione di dati personali all autorità di controllo (art. 33) Processo di gestione delle violazioni Personal Data Breach 72h Analisi dei rischi Rilevamento e analisi iniziale della violazione Comunicazione all interessato Risoluzione immediata Analisi di dettaglio della violazione Comunicazion e di dettaglio alle autorità Soluzioni addizionali di risoluzione Analisi post-mortem Analisi dei rischi Rilevamento e analisi Comunicazione 1 Il processo di gestione delle violazioni si basa sulla preliminare esecuzione di un analisi dei rischi e sulla definizione di misure di sicurezza, in grado di garantire risposte tempestive, efficaci e adeguate alle violazioni. 2 La fase di rilevamento e analisi si articola in due momenti differenti tramite: un analisi iniziale per raccogliere informazioni e valutare l impatto; un analisi di dettaglio per raccogliere eventuali ulteriori informazioni (circostanze della violazione, ecc.). 3 Le comunicazioni avvengono: Senza ulteriore ritardo all interessato, in caso di alti impatti sui diritti e le libertà dello stesso; entro le 72 h dal rilevamento all autorità competente; Risoluzione Analisi post-mortem 4 La risoluzione della violazione può avvenire tramite: misure di risoluzione tempestive per contenere le violazioni rilevate; misure di risoluzione addizionali applicabili, se necessario, a seguito dell analisi di dettaglio. 5 A seguito della risoluzione della violazione si eseguono le attività di: analisi post mortem per investigare sulle violazioni manifestatasi; aggiornamento dell inventario delle violazioni. 10
La corretta gestione dei processi informatici (secondo il GDPR ed in accezione più ampia ) da risposte specifiche ad un servizio organizzato. da prassi operative a processi documentati e strutturati secondo framework «riconosciuti» e specifici del contest ICT. Short-term Medium-term Long-term 11
grazie Dino Ponghetti Digital Trust Services Associate Partner CISA, CGEIT Mobile: +39 348 1505207 Email: dino.ponghetti@pwc.comcom www.pwc.com/it/