La corretta gestione dei processi informatici del nuovo GDPR

Documenti analoghi
PREPARARSI ALLA NUOVA PRIVACY: CONOSCERE ED APPLICARE IL GDPR IN AZIENDA GESTIRE LA SICUREZZA INFORMATICA

Privacy by Design: evoluzione e implicazioni

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI GDPR (2016/679)

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

GDPR. Il nuovo Regolamento Privacy Europeo. Sicurezza Informatica. Prevenzione, protezione dei sistemi, obblighi e responsabilità dei Titolari

Il nuovo modello di gestione della privacy Davide Grassano

Alessandro Gaspari Data Center Specialist

Seminario sul suo recepimento in ISS

Conto alla rovescia verso il 25 maggio: il «set di strumenti» per gestire l impatto della nuova normativa

LE RESPONSABILITÀ: LA GARANZIA DELLA SICUREZZA DEI DATI

S u m m e r M e e t i n g 2018

Cybersecurity e Hardware: che cosa prevede il GDPR

1. SCOPO E AMBITO DI APPLICAZIONE RUOLI PREVISTI UFFICI COINVOLTI... 6

NUOVA DISCIPLINA DELLA PRIVACY. Vademecum per le micro e piccole imprese

I PRINCIPI ALLA BASE DEL NUOVO RGDP. Dott.ssa Sabina Ponzio (CNR Ufficio Affari Istituzionali e Giuridici)

GDPR: il nuovo regolamento Privacy

Nuovi strumenti di accountability dei titolari. a cura di Giuseppe D Acquisto 17 Maggio 2018

GDPR. presenta. Cosa cambia per noi con il nuovo Regolamento Europeo sulla Privacy?

REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

PROTEZIONE DEI DATI IN AMBITO SANITARIO CRISTINA DAGA

Claudio Terlizzi Data Protection Officer. 23/01/2019 Università Magna Grecia di Catanzato

Le iniziative Consip a supporto

Regolamento UE 2016/679, GDPR: Data Breach - adempimenti

Il nuovo regolamento UE in materia di protezione dei dati personali Sviluppi e impatti per i soggetti pubblici

LA NUOVA NORMATIVA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Seminario Nuovo Regolamento Protezione Dati Personali (GDPR) Mercoledì 11 aprile 2018 dalle 9,30 alle 12,30

GDPR: azioni raccomandate dal legale

Adeguamento al GDPR: priorità e suggerimenti. Venezia, 14 novembre 2017

Avv. Giovanni Battista Gallus. Prepararsi al Regolamento europeo sul trattamento dei dati personali (GDPR): il ruolo del free/open source software

ALLEGATI. A) Registro attività di trattamento

Il nuovo Regolamento Europeo sulla protezione dei dati personali Registro trattamenti - Sanzioni

Adempimenti Privacy/Data Protection. Attività di Privacy /Data Protection per adempimento al dlg 196/03 e GDPR/06 del 24 maggio 2016

General Data Protection Regulation UE 2016/679

DATA BREACH. Procedura da seguire in caso di data breach

Privacy in azienda: Il GDPR e l impatto sulle aziende

Mamma, ho perso il GDPR

Privacy & Data protection ai sensi del Regolamento UE 2016/679 (General Data Protection Regulation)

GDPR. Gli obblighi di compliance interna ed esterna. 23 novembre 1

PROTEZIONE DATI PERSONALI: GDPR, PRIVACY E SICUREZZA. Syllabus Versione 2.0

Bologna, 24/5/ 16 - Workshop Smart Metering: esperienze a confronto Cyber Security e Smart Meter

Protezione dei dati, privacy e sicurezza informatica

Il GDPR e le opportunità offerte dalle soluzioni di sicurezza gestita

Ministero dell Istruzione, dell Università e della Ricerca

OVERVIEW DEL GDPR: I CONCETTI CHIAVE

IIS CODOGNO. Comunicazione. N. 9 AR COMUNICAZIONE INTERNA. da: Dirigente Scolastico. a: personale docente e non docente IIS Codogno

PERCORSO DI ALTA FORMAZIONE E QUALIFICA GDPR (REG. UE 2016/679) RICONOSCIUTO AICQ SICEV

IL NUOVO GDPR COME ARRIVARE PREPARATI AL 25 MAGGIO 2018

Privacy e requisiti per la Cybersecurity nella PA

INDICE CAPITOLO I EVOLUZIONE NORMATIVA IN MATERIA DI TRATTAMENTO DI DATI PERSONALI

COMUNE DI BORGONE SUSA CITTA METROPOLITANA DI TORINO

DATA BREACH E SICUREZZA INFORMATICA: La segnalazione delle violazioni tra GDPR e D.Lgs. 65/2018

13 - INDICE DELLA MATERIA PROTEZIONE DEI DATI PERSONALI

GDPR. Regolamento Europeo Protezione Dati Personali

Ministero dell Istruzione, dell Università e della Ricerca Ufficio Scolastico Regionale per il LAZIO I.I.S."G.Marconi Via Reno snc Latina

Your Reliable IT Solution Partner.

Regolamento UE 2016/679: La Riforma della Privacy tra Diritto e Cybersecurity

Colin & Partners. LaaS - Legal as a Service. Marketing & Communication. Think Factory. Privacy e tutela delle informazioni. Diritto informatico

Città di Tortona Provincia di Alessandria

Privacy e aziende: Whistleblowing e controlli sui lavoratori alla luce del nuovo regolamento

Swascan for GDPR SWASCAN. Il servizio di GDPR Chiavi in mano REGISTRATI E ACCEDI AL FREE TRIAL. In collaboration with CISCO

POLICY PER LA COMUNICAZIONE DEL DATA BREACH

GDPR: cosa devono fare le aziende per mettersi in regola?

Processi, Tool, Servizi Professionali

GDPR: accountability e approccio dell OdI

Regolamento generale sulla protezione dei dati GDPR UE 2016/679. Alberto Galvani

COMUNE DI LAURIANO. Città Metropolitana di Torino

Gestione della violazione dei dati (Data Breach)

CONSULENTE DELLA PRIVACY

La privacy per lo studio legale

Dal Codice della Privacy al Regolamento Europeo: COSA CAMBIA

Il nuovo regolamento privacy dell Unione Europea:

Sistemi informativi in ambito sanitario e protezione dei dati personali

Cos è il GDPR? General Data Protection Regulation

Dal codice privacy al nuovo regolamento generale UE sulla protezione dei dati personali 679/2016: quali adempimenti per le imprese

La Privacy nell amministrazione del personale

REGOLAMENTO ORGANIZZATIVO PER L ATTUAZIONE DELLA NORMATIVA IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI.

MailArchive per l archiviazione sicura delle sul Cloud

LE PRINCIPALI NOVITÀ DEL NUOVO REGOLAMENTO EUROPEO IN TEMA DI PRIVACY

Il nuovo regolamento europeo sulla privacy (GDPR): i nuovi adempimenti per la pubblica amministrazione, le imprese e le strutture sanitarie

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

IL GDPR. Introduzione alle novità del nuovo regolamento n. 679/2016 UE Pordenone Avvocato Alessandro Pezzot

Crime Risk Insurance System

Scheda tecnica attività formativa

General Data Protection Regulation

La sicurezza nella PA: dati e considerazioni

Come adeguare il tuo sito web e la tua attività alle normative

1. INFORMATIVA. sempre e comunque e soprattutto acquisire la ricevuta di averla comunicata all interessato

Privacy - Nuovo Regolamento Europeo

REGOLAMENTO EUROPEO SULLA TUTELA DEI DATI PERSONALI (UE 2016/679) IMPLEMENTAZIONE DEL GDPR General Data Protection Regulation

La nuova normativa. Maggiori diritti a tutela della privacy. Maggiori doveri a chi deve proteggere i dati. Obbligo di segnalazione per le violazioni

CHECK LIST ADEGUAMENTO NUOVO REGOLAMENTO PRIVACY DENOMINAZIONE CODICE FISCALE P. IVA ANNOTAZIONI DOCUMENTAZIONE ALLEGATA:

IL NUOVO REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI: DA OBBLIGO A OPPORTUNITÀ

Il Regolamento Generale sulla Protezione dei Dati personali

Una Roadmap per il Cloud Computing: Organizzazione e tecnologie per il modello as a Service

D G R S S t u d i o L e g a l e V i a C h i o s s e t t o, M i l a n o ( I t a l i a ) T e l : T:

Kineo Energy e Facility S.r.l. Via dell Arcoveggio, Bologna (BO) Tel: Fax: C.F.-P.IVA-R.I.

CORSO DI PERFEZIONAMENTO UNIVERSITARIO E AGGIORNAMENTO PROFESSIONALE IN

Violazione di dati personali ( Data breach ) INDICE

Procedure di adeguamento al GDPR (Regolamento UE 679/2016)

Transcript:

www.pwc.com La corretta gestione dei processi informatici del nuovo GDPR Dino Ponghetti - Brescia, 16 marzo 2018 dino.ponghetti@pwc.com

L ICT in versione «classica» INTERNET END USER FIREWALL Hardware, processori DATABASE SHARE Infrastruttura on-premises 2

L ICT: il percorso di evoluzione ON-PREMISES CLOUD COMPUTING OUTSOURCING Infrastructure as a Service (IaaS) Platform as a Service (PaaS) Software as a Service (SaaS) END USER INTERNET OF DESKTOP MOBILE 3 THINGS

Ed i social media? Fig. 1.1 Cosa è un social media? Fonte: Digital In 2017 We are social and Hootsuite 4

La percezione del ruolo dei sistemi ICT nel contesto del GDPR I nostri clienti ci hanno chiesto «Perché dobbiamo analizzare anche i sistemi ICT?» In base a quanto previsto dall articolo 32, il GDPR ha previsto che il titolare deve mettere in atto misure tecniche ed organizzative al fine di garantire, un adeguato livello di sicurezza al trattamento dei dati «Quali sono i sistemi da analizzare e come li definisco» Tutti i sistemi, db, nonché strumenti informatici (es. cartelle di rete) utilizzati dall Azienda per effettuare trattamenti. e noi cosa abbiamo risposto! «La privacy non è un qualcosa che si gestisce solo il nostro legale?» No, poiché il GDPR ha da una parte rafforzato le misure «tecniche» già previste dalla precedente norma; da un altra parte, invece, il GDPR ha introdotto nuovi concetti (es. data portability) e requisiti tecnologici (es. cancellazione dei dati) che per forza di cose portano la privacy ad essere gestita in modo organico a livello azienda coinvolgendo quindi in maniera imprescindibile anche soggetti che non operano in una funzione legale. «Devo anche considerare i database? Anche se non strutturati? I database vanno analizzati nella misura in cui gli stessi vengono impiegati per effettuare trattamenti. «Mi raccomando: sui sistemi dateci da fare il minimo indispensabile!» Non esiste un set minimo di requisiti ma un set di misure tecniche ed organizzative da porre in atto in base alla tipologia di dato ed in base ai trattamenti effettuati. «Quale formula applicate per definire i sistemi da analizzare?» Quella specifica per la Tua realtà 5

Quali sono gli impatti sull IT? Gli impatti sull ICT sono «diffusi» nel Regolamento, tra i principali possiamo menzionare: «Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita» (art. 25) «Sicurezza del trattamento» (art. 32) Notifica di una violazione di dati personali all autorità di controllo (art. 33) Privacy-by-design Le misure di sicurezza devono essere individuate in fase di progettazione dei sistemi informativi. I Titolari, ed il loro Resp. ICT, devono iniziare a pensare alla privacy già in fase di progettazione coinvolgendo gli esperti di sicurezza fin dalle prime fasi del processo di sviluppo. Minimizzazione Mascheratura Privacy-by-default L adeguamento prosegue per tutto il ciclo di vita del software. Scrambling 6

«Sicurezza del trattamento» (art. 32) MISURE DI SICUREZZA Punto di attenzione: le «Misure di sicurezza» non sono definite a livello tecnico, ma viene richiesto che siano adeguate al rischio. Il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento». Valutazione del rischio potenziale per l individuo Predisposizione delle misure tecniche adeguate 7

«Sicurezza del trattamento» (art. 32) L applicazione delle misure di sicurezza non è più direttamente collegata ad un requisito normativo esplicito che descriva le misure minime da implementare, ma viene introdotto il principio di «misure adeguate» al fine di presidiare in modo corretto i rischi legati alla gestione dei dati personali e valutabili in funzione delle finalità e del contesto in cui questi dati vengono utilizzati. Sviluppo sicuro Pseudonominizzazione Crittografia Anonimizzazione Antivirus Password Policy Data Protection Impact Assessment La valutazione degli impatti deve essere fatta ex-ante il trattamento dei dati e deve dare origine ad una valutazione del rischio. Livello di Rischio Alto La valutazione del rischio deve essere aggiornata a fronte di variazioni rilevanti del contesto o dei potenziali impatti. Basso Misure di sicurezza Alte Basse Le misure di sicurezza possono essere quindi un mix di processi, tecnologie e formazione e devono garantire: l integrità dei dati personali; la sicurezza dei sistemi e dei servizi che trattano i dati personali; la possibilità di data recovery in caso di incidente fisico o tecnico; l accesso ai dati soltanto da parte del personale autorizzato e solo per gli scopi previsti dalla legge. Anti-spam Segregazione dei compiti Training & Awareness Intrusion Prevention System Firewall Disaster Recovery Backup & Restore SIEM 8

Notifica di una violazione di dati personali all autorità di controllo (art. 33) DATA BREACH NOTIFICATION DATA BREACH Accesso non autorizzato ai dati personali, distruzione accidentale o perdita dei dati, divulgazione, modificazione, copia o rimozione in assenza di autorizzazione. Il Regolamento prevede obblighi informativi in capo al titolare del trattamento in caso di personal data breach sia nei confronti della competente Autorità di controllo senza ritardo e, ove possibile, entro 72 ore dal momento in cui ne è giunto a conoscenza, sia nei confronti dell interessato, nel caso in cui dalla violazione possa derivare un elevato rischio per i diritti e le libertà dell individuo. Il responsabile deve documentare la violazione dei dati personali, incluse le circostanze in cui si è verificata, le sue conseguenze e i provvedimenti adottati per porvi rimedio. La notifica deve contenere: Natura della violazione dei dati; Identità e coordinate di contatto del Data Protection Officer; Conseguenze della violazione; Misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione, incluse quelle per attenuarne gli effetti. Non è richiesta nel caso in cui: 1) siano state adottate misure tecniche ed organizzative tali da rendere i dati non intellegibili per i non autorizzati; 2) siano adottate misure idonee ad evitare il sopraggiungere di un rischio elevato per gli interessati; 3) la comunicazione implicherebbe sforzi sproporzionati. 9

Notifica di una violazione di dati personali all autorità di controllo (art. 33) Processo di gestione delle violazioni Personal Data Breach 72h Analisi dei rischi Rilevamento e analisi iniziale della violazione Comunicazione all interessato Risoluzione immediata Analisi di dettaglio della violazione Comunicazion e di dettaglio alle autorità Soluzioni addizionali di risoluzione Analisi post-mortem Analisi dei rischi Rilevamento e analisi Comunicazione 1 Il processo di gestione delle violazioni si basa sulla preliminare esecuzione di un analisi dei rischi e sulla definizione di misure di sicurezza, in grado di garantire risposte tempestive, efficaci e adeguate alle violazioni. 2 La fase di rilevamento e analisi si articola in due momenti differenti tramite: un analisi iniziale per raccogliere informazioni e valutare l impatto; un analisi di dettaglio per raccogliere eventuali ulteriori informazioni (circostanze della violazione, ecc.). 3 Le comunicazioni avvengono: Senza ulteriore ritardo all interessato, in caso di alti impatti sui diritti e le libertà dello stesso; entro le 72 h dal rilevamento all autorità competente; Risoluzione Analisi post-mortem 4 La risoluzione della violazione può avvenire tramite: misure di risoluzione tempestive per contenere le violazioni rilevate; misure di risoluzione addizionali applicabili, se necessario, a seguito dell analisi di dettaglio. 5 A seguito della risoluzione della violazione si eseguono le attività di: analisi post mortem per investigare sulle violazioni manifestatasi; aggiornamento dell inventario delle violazioni. 10

La corretta gestione dei processi informatici (secondo il GDPR ed in accezione più ampia ) da risposte specifiche ad un servizio organizzato. da prassi operative a processi documentati e strutturati secondo framework «riconosciuti» e specifici del contest ICT. Short-term Medium-term Long-term 11

grazie Dino Ponghetti Digital Trust Services Associate Partner CISA, CGEIT Mobile: +39 348 1505207 Email: dino.ponghetti@pwc.comcom www.pwc.com/it/

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back