Listino Supporto Partner Contatti 800 13.40.41

Articoli

Icona delle News




GDPR e la sicurezza dei dati, nuovi obblighi

GDPR e la sicurezza dei dati nuovi obblighi

21/11/17 Avvocato Giuseppe Serafini Blog

Di Avv. Giuseppe Serafini – Law Firm

Sponsored GFI SOFTWARE  - GFI Partner Forum Italia -  16/11/2017

Abstract

Change Management; Cyber Crime; Loss; Ethical Hacking; IoT; Information Security; ISO/IEC 27000; 27001; 27037; PDCA; Penetration Testing; Terms & Conditions May Apply; Vulnerability Assessment; PCI - DSS; RoE; Corporate Forensics; Black Box; Data Protection Policy; NIST; Cod. Pen. Risk Mitigation; Digital Forensics; Data Protection; OWASP; Out of Jail; SQL Injection; Kali Linux; Computer Security Incident Response Team; CSIRT; Privacy Shield; Digital Evidence; Data Protection Officer; Privacy Impact Analysis;  Cyber War; Tallin Manual; Attack Surface; NIS Directive; Cyber Security Awareness Program; Wassenaar Arrangement; Cipher Block; Cryptography; Cass. S.U. 28/07/2016”; Cybersecurity Report (CIS); Critical Infrastructure Cybersecurity (NIST); CERTFin; Cyber Weapon; DPIA.

Art.1 (R). - Oggetto e finalitá.

Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.

Art.1 (D). - Oggetto e Ambito di applicazione

La presente direttiva stabilisce misure volte a conseguire un livello comune elevato di sicurezza della rete e dei sistemi informativi nell'Unione così da migliorare il funzionamento del mercato interno.

The Car Hacker’s handbook

Legal Framework

EU GDPR - Reg. 679/2016 - (Data Protection)

  • Registro dei Trattamenti - (Art. 30);
  • Sicurezza - (Art. 32);
  • Data Breach Notification - (Art. 33 e ss);
  • Privacy Impact Assessment - (Art.35);
  • Consultazione Preventiva - (Art.36);
  • Data Protection Officer - (Art. 37 - 39);

NIS Dir. (UE) 2016/1148 (Network Information Security)

  • CSIRT - ENISA;
  • Operatori Servizi Essenziali - (All. II);
  • Fornitori Servizi Digitali - (All. III);

WP29 - Guidelines

  • Data Protection Officer
  • Data Protection Impact Assessment

Provv. Garante & Codice Privacy

  • Amministratori di Sistema;
  • Posta Elettronica ed Internet;
  • Fascicolo Sanitario Elettronico;
  • Data Breach - Videosorveglianza;

Cod. Pen. - (Cyber Crimes)

Cod. Proc. Pen. (Digital Forensics)

Info Sec.

  • ISO/IEC 27000 Family;
  • NIST 800 Series;
  • Cloud Control Matrix - (CSA);
  • PCI - DSS / PA - DSS. / OWASP Top Ten Vulnerability.
  • Misure Minime Sicurezza ICT PA - SANS

Quadro strategico nazionale per la sicurezza dello spazio cibernetico.

Banner

  • Destinatari;
  • Coordinamento;
  • Sanzioni;
  • Adempimenti;
  • Extra-territorialitá;
  • Cyber (Forensics) Security

Cyber Security & Data Protection

Art. 99 - R. Entrata in vigore e applicazione.

  1. Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
  2. Esso si applica a decorrere dal 25 maggio 2018.

Art. 21 - D. - Sanzioni.

  1. Gli Stati membri stabiliscono le norme relative alle sanzioni da irrogare in caso di violazione delle disposizioni nazionali di attuazione della presente direttiva e adottano tutti i provvedimenti necessari per la loro applicazione. Le sanzioni previste sono effettive, proporzionate e dissuasive.
  2. Gli Stati membri notificano tali norme e provvedimenti alla Commissione entro il 9 maggio 2018 e provvedono a darle immediata notifica di ogni successiva modifica.

Art. 24 (R). - Responsabilità del titolare del trattamento

  1. Tenuto co nto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento.

Dette misure sono riesaminate e aggiornate qualora necessario.

State of The Art

Norme entro il 9 maggio 2018.

  1. Strategia Nazionale in materia di sicurezza della rete e dei sistemi informativi;
  2. Servizi Digitali.
  • Mercato on line;
  • Cloud;
  • Motori di ricerca.

Art. 14 e 16 - tenuto conto delle conoscenze più aggiornate in materia (Parametro dell’obbligo di sicurezza).

N.I.S. Directive.

  1. Ogni Stato membro designa uno o più CSIRT che sia conforme ai requisiti di cui all'allegato I, punto 1, che si occupi almeno dei settori di cui all'allegato II e dei servizi di cui all'allegato III e abbia il compito di trattare gli incidenti e i rischi secondo una procedura ben definita. È possibile creare un CSIRT all'interno dell'autorità competente (IT-CERT - CERT-PA). 
  2. Identificazione dei servizi essenziali (Allegato III);
  • Energia;
  • Trasporti;
  • Settore Bancario (CERTFIN);
  • Infrastrutture dei Mercati finanziari;
  • Settore Sanitario;
  • Infrastrutture Digitali;
  1. Notifica degli incidenti;
  2. Strategia Nazionale in materia di sicurezza della Rete e dei Sistemi Informativi (Autoritá Nazionale di Controllo);
  3. Cooperazione tra Autoritá Nazionali e tra queste ed ENISA;
  4. Rete di Gruppi di Intervento per la Sicurezza Informatica (CSIRT).


Art. 4. c.1. nr. 2 -
Sicurezza della rete e dei sistemi informativi.

La capacità di una rete e dei sistemi informativi di resistere, a un determinato livello di riservatezza, a ogni azione che comprometta la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati conservati o trasmessi o trattati e dei relativi servizi offerti o accessibili tramite tale rete o sistemi informativi.

EU-GDPR

Articolo 3 - Ambito di applicazione territoriale

  1. Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione.
  2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:

    a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure
    b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell'Unione.

  3. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico.

Banner

Definizioni

«dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

«trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

«violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;

«titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri; 

«responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

«terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile; 

«profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

«pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

«consenso dell'interessato»:  qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

General Data Protection Regulation.

Art. 25 - Privacy By Design - By Default.

  1. () sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati;
  2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento ().

Art. 28 - Responsabile del trattamento.

  • Tratti i dati su istruzione documentata;
  • NDA (Employees);
  • Adozione misure Art. 32;
  • Sub_Processor;
  • Garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti degli interessati;

Reg. E.U. 27.04.2016 Nr. 679. C (81)

Il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento.

L’esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento.

Art. 28 - Responsabile del trattamento.

  • Tratti i dati su istruzione documentata;
  • NDA (Employees);
  • Adozione misure Art. 32;
  • Sub_Processor;
  • Garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti degli interessati;

Reg. E.U. 27.04.2016 Nr. 679.

Art. 32 - Sicurezza del Trattamento.

1.  Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a)  la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

2.  Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Art. 31 - Codice Privacy

I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Data Protection Security Management System.

Art. 30 - Registri delle attività di trattamento.

Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10.

Considerando - Art. 33

(88). Nel definire modalità dettagliate relative al formato e alle procedure applicabili alla notifica delle violazioni di dati personali:

  • è opportuno tenere debitamente conto delle circostanze di tale violazione, ad esempio stabilire se i dati personali fossero o meno protetti con misure tecniche adeguate di protezione atte a limitare efficacemente il rischio di furto d'identità o altre forme di abuso.
  • Inoltre, è opportuno che tali modalità e procedure tengano conto dei legittimi interessi delle autorità incaricate dell'applicazione della legge, qualora una divulgazione prematura possa ostacolare inutilmente l'indagine sulle circostanze di una violazione di dati personali.

*

(33.3). La notifica di cui al paragrafo 1 deve almeno:

a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione (...);

b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze della violazione dei dati personali

d) descrivere le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Violazione dei dati personali.

La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Incident Response - Digital Forensics

Digital Evidence

Any data stored or transmitted using a computer that support or
refuse a theory of how an offense occurred or that address critical elements of the offense such as intent or alibi.

European General Data Protection Regulation

Articolo 39 - Compiti del responsabile della protezione dei dati.

a) informare e fornire consulenza (…) in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

b) sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche (…) in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35;

d) cooperare con l'autorità di controllo; e e) fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36 (…).

Articolo 37 - Designazione del responsabile della protezione dei dati.

a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;

b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10.

Data Protection Impact Assessment - (DPIA)

  1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali.
  2. La valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10; o

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

35.7 DPIA

  1. Una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento;
  2. Una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
  3. Una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
  4. Le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.

DPIA - (Valutazione Impatto Privacy)

  1. What does a DPIA address? A single processing operation or a set of similar processing operations.
  2. Which processing operations are subject to a DPIA?

a) When is a DPIA mandatory? Where a processing is “likely to result in a high risk”.

b) When isn’t a DPIA required? When the processing is not "likely to result in a high risk", or has already been authorized, or has a legal basis.

c) What about already existing processing operations? DPIAs are needed for those created after May 2018 or that change significantly.

3. How to carry out a DPIA?

a) At what moment should a DPIA be carried out? Prior to the processing.

Banner

b) Who is obliged to carry out the DPIA? The data controller, with the DPO and the data processor(s) 

c) What is the methodology to carry out a DPIA? Different methodologies but common criteria.

d) Should the DPIA be published? Yes, either in full or in part, and it must be communicated to the supervisory authority in case of prior consultation.

4. When shall the supervisory authority be consulted? When residual risks are high.

 

AVV. GIUSEPPE SERAFINI

Banner

  • Avvocato del Foro di Perugia.
  • UNIMI -  Cloud, Data Protection, Digital Forensics.
  • BSI ISO / IEC 27001:2013 Lead Auditor.
  • Data Protection Officer & Privacy Expert.
  • European Certificate on Cybercrime Evidence.
  • Digital Forensics Expert Witness - (Procura della Repubblica).
  • Docente Uni-PG / Scuola Forense Perugia.
  • CSIG - Perugia.
  • ISACA - Roma Chapter.
  • F.A. - Digital Forensics Alumni.
  • S.A. - Cloud Security Alliance.
  • CLUSIT - Associazione Italiana per la Sicurezza Informatica.
  • (ISC)2 - Int. Inf. Systems Security Certification Consortium.

 


Video Premium su GDPR

Corsi Premium - GDPR
Ripe Ncc Member
vmware
CloudLinux
Plesk
HP
Microsoft