Aggiornamento su Privacy e novità in tema di cybersecurity dall Europa Presentazione al Security Summit Milano, 14 Marzo 2013
AGENDA Protezione dei dati personali Evoluzione vs Rivoluzione Dibattito parlamentare Scenari futuri Posizioni più moderate Strategia UE Cybersecurity Contesto Posizioni Obiettivi Novità Reazioni Tempistica 2
EVOLUZIONE VS RIVOLUZIONE La rapida evoluzione tecnologica e la globalizzazione hanno profondamente trasformato le modalità con cui sono raccolte, consultate, utilizzate e trasferite quantità sempre maggiori di dati personali I dati personali sono diventati una risorsa per molte imprese le cui attività economiche spesso consistono in larga misura nella raccolta, aggregazione e analisi dei dati dei potenziali clienti La direttiva dell'ue del 1995 è stata una pietra miliare nella storia della protezione dei dati, i cui obiettivi rimangono tuttora validi. La direttiva risale tuttavia a 17 anni fa, un'epoca in cui Internet era ancora in uno stadio iniziale di sviluppo Per questo motivo la Commissione europea ha proposto una riforma radicale del quadro dell'ue in materia di protezione dei dati lo scorso gennaio 2012 3
DIBATTITO PARLAMENTARE Dibattito parlamentare molto intenso in seno alla Commissione Liberta civili, Giustizia e Affari interni, alla Commissione Industria e alla Commissione Mercato interno Dialogo serrato con gli organi parlamentari nazionali e le autorità nazionali di protezione dei dati, da un lato, e con il garante europeo della protezione dei dati Emendamenti presentati rendono il testo ancora più ambizioso Ambizioso auspicio espresso dal relatore Jan Philipp Albrecht esponenete di spicco dei verdi tedeschi e la Presidenza Irlandese di finalizzare i lavori parlamentari in prima lettura entro la primavera del 2013, poi il via al negoziato con gli Stati membri e accordo politico possibilmente entro fine presidenza (giugno 2013) 4
SCENARI FUTURI Rafforzamento dei diritti delle persone fisiche Consenso espresso liberamente ed esplicitamente rimane una pietra miliare L uso di «standard tecnici» ad esempio il Do Not Track è ammesso L uso di icone e loghi standardizzati è ammesso purchè l informazione sia presentata in forma chiara e comprensibile La modalità di richiesta del consenso in forma semplificata è ammessa e puo` avvenire attraverso: o «Comunicazioni multistrato» o L utilizzo di tecnologie che rafforzano la privacy (riducendo al minimo la memorizzazione dei dati personali), o Impostazioni di default o Sistemi di certificazione della privacy 5
SCENARI FUTURI Atteggiamento molto restrittivo rispetto al «legittimo interesse» al trattamento dei dati - ammesso solo in «casi eccezionali» Cosi come la «finalità del trattamento» non puo essere estesa arbitrariamente dal responsabile del trattamento senza il consenso dell interessato e soprattutto solo sulla base di un legittimo interesse del responsabile Confermando in capo all interessato il diritto all oblio e ad opporsi ad un trattamento non previsto Rafforzando il diritto di informazione, affinchè gli utenti siano pienamente consapevoli delle modalità di trattamento dei dati che li riguardano, specie se si tratta di minori Confermando il diritto alla portabilità come forma adeguata e specifca del diritto di accesso ai propri dati 6
SCENARI FUTURI Aumento della rendicontazione e riduzione oneri amministrativi Confermato data breach notification Aumentato da 24 a 72 ore il termine di notifica Privacy by design and by default Privacy Impact Assessment, valutazione dell'impatto privacy con riferimento all'avvio di un nuovo trattamento per talune tipologie di dati Accountability con anticipazione della responsabilità in fase di progettazione Data protection officers (DPO) nelle imprese e autorità pubbliche tuttavia si suggerisce la sostituzione del criterio del numero dei dipendenti con il numero degli individui i cui dati sono trattati (500 interessati) Sanzioni fino ad un milione di euro o al 2 per cento del fatturato annuale 7
POSIZIONI PIU MODERATE Espresse da MEPs più simpatizzanti delle istanze dell industria, dalla presidenza irlandese e da alcuni Stati membri Nove Stati membri, tra cui Germania, Regno Unito, Svezia e Belgio, opposti ai diversi obblighi gravanti sulle imprese Alleggerimento sanzioni ricorso ad esempio a fattori attenuanti, aderenza a un approvato codice di condotta o privacy seal o maggiore discrezionalità in capo alle autorità nazionali Esenzioni per le PMI - tra cui l obbligo di nomina del DPO 8
STRATEGIA UE SU CYBERSECURITY E CONTESTO La strategia europea sulla sicurezza informatica - insieme alla riforma della privacy- si inscrivono in una politica più ampia di tutela delle libertà e diritti fondamentali in Internet e sviluppo di un ambiente digitale sicuro e affidabile Trust, privacy e sicurezza in Internet: colonne portanti dell Agenda digitale europea Quadro europeo estremamente frammentario Fattori di rischio: ogni giorno circolano 150.000 virus informatici e sono infettati 148.000 computer secondo stime Symantec, le vittime di questo tipo di criminalità subiscono ogni anno a livello mondiale perdite per circa 290 miliardi di euro, mentre uno studio di McAfee calcola i profitti di detta criminalità a 750 miliardi di euro all anno Secondo il Forum economico mondiale 10% di probabilità che nel prossimo decennio si verifichi un grave incidente nelle infrastrutture critiche informatizzate, in grado di causare danni per circa 250 miliardi di dollari 9
POSIZIONE UE Presentata il 7 febbraio congiuntamente dal Commissario per l Agenda digitale, il Commissario per gli Affari Interni in collaborazione con l Alta rappresentante dell Unione europea per gli Affari esteri e la politica di sicurezza Catherine Ashton: Affinché il ciberspazio resti aperto e libero, occorre che alle transazioni su internet si applichino regole, principi e valori promossi dall UE al di fuori di tale ambito. È necessario che nel ciberspazio siano tutelati i diritti fondamentali, la democrazia e lo Stato di diritto. L UE collabora con i suoi partner internazionali, con la società civile e con il settore privato per promuovere questi diritti a livello mondiale. Neelie Kroes Più si conta su Internet, più si tende a credere che sia sicuro. La sicurezza su internet tutela le nostre libertà e i nostri diritti, come pure la nostra capacità di esercitare attività economiche. È giunto il momento di adottare iniziative coordinate, in quanto non farlo avrà un costo assai superiore. Cecilia Malmström: Questa strategia evidenzia le azioni concrete che abbiamo intrapreso per ridurre drasticamente la cibercriminalità. Numerosi Stati dell UE non dispongono dei mezzi necessari per individuare e combattere la criminalità organizzata online. Tutti gli Stati membri devono istituire unità nazionali efficaci contro la criminalità informatica, che beneficino dell esperienza e del sostegno del Centro europeo per la lotta alla criminalità informatica EC3. 10
OBIETTIVI UE La strategia UE prevede azioni in diverse aree al fine di: ridurre drasticamente la criminalità informatica e conseguire la resilienza informatica; sviluppare la politica di difesa e le capacità informatiche connesse alla politica di sicurezza e di difesa comune sviluppare le risorse industriali e tecnologiche per la sicurezza informatica istituire una coerente politica internazionale del ciberspazio per l Unione europea e sostenere i valori fondamentali dell Ue 11
NOVITÀ DELLA DIRETTIVA Azione chiave della strategia: proposta di direttiva sulla sicurezza delle reti e dei sistemi di informazione L elaborazione da parte degli Stati membri di una strategia per la sicurezza delle reti e dell informazione e la designazione di un autorità nazionale competente in materia, dotata delle risorse finanziarie e umane necessarie per prevenire, far fronte e rispondere ai rischi e agli incidenti che si verificano in tale ambito L istituzione di un meccanismo di cooperazione tra gli Stati membri e la Commissione, al fine di mettere in comune mediante un infrastruttura sicura i sistemi di preallarme riguardo a rischi e incidenti, collaborare e organizzare regolarmente valutazioni inter pares Misure per la gestione del rischio e estensione dell obbligo di notifica degli incidenti «gravi» alle autorità competenti da parte di: o operatori di infrastrutture critiche in alcuni settori (servizi finanziari, trasporti, energia, sanità) o operatori di servizi della società d informazione (app stores, piattaforme di commercio elettronico, pagamenti su internet, cloud computing, motori di ricerca, reti sociali) o amministratori pubblici 12
REAZIONI La segnalazione delle vulnerabilità ha sollevato qualche preoccupazione tra aziende internet operanti in Europa Business Software Alliance, i cui membri includono Apple, IBM e Intel, sostiene gli obiettivi della direttiva, ma teme che la componente di divulgazione potrebbe generare rischi di sicurezza di per sè. Siamo preoccupati che se aziende divulghino queste informazioni altamente sensibili, questo [...] consentirà lo sfruttamento di queste vulnerabilità da parte di hacker per esempio. [Noi preferiremmo] che la segnalazione avvenga una volta che il problema è stato affrontato, al fine di dimostrare compliance, [...] che il problema sia stato risolte e che non ci sono più rischi Posizione contraria espressa dall Europarlamentare tedesco Jan Philipp Albrecht Se le imprese IT sono obbligate a segnalare solo incidenti gravi significa che non sono tenute a rivelare altre vulnerabilità e rischi. Questo porta ad intervenire solo una volta che il danno si è già prodotto... in conflitto con la prassi dell 'informativa responsabile' sulle vulnerabilità che è già conosciuta e rispettata nel settore della sicurezza IT oggi 13
QUANDO ENTRERÀ IN VIGORE LA DIRETTIVA? Il percorso legislativo è ancora lungo Il dibattito parlamentare non è ancora ufficialmente iniziato Ne seguirà: o La discussione in seno alle Commissioni parlamentari e in sede di Consiglio o o o o Il voto in prima lettura in Parlamento europeo I negoziati con gli Stati membri e il dibattito inter-istituzionale L adozione della direttiva da parte del Consiglio e del Parlamento europeo Gli Stati membri dovranno attuare la direttiva nei 18 mesi dalla sua entrata in vigore 14
15
CONTACT DETAILS: Claudia La Donna Associate Director Tel: +322 502 11 63 claudia.ladonna@newgatecomms.com Newgate Communications Avenue des Arts 39 1040 BRUSSELS BELGIUM Website: www.newgatecomms.com 16