SlideShare a Scribd company logo

Gli obblighi del GDPR in caso di Data Breach

Adriano Bertolino
Adriano Bertolino

Cosa fare quando si rileva una violazione dei dati personali o databreach per essere compliance al Regolamento Ue 20176/679 o GDPR

Law
1 of 20
Download to read offline
DATA BREACH: DIETRO LE QUINTE DI UN ATTACCO INFORMATICO Gli obblighi del GDPR in caso di Data Breach Webinar - 29 aprile 2020 Webcast: https://youtu.be/mfOFz2-M1zE?t=508
Dott. Adriano Bertolino, DPO 29/04/2020 CHI SONO? DOTT. ADRIANO BERTOLINO Data Protection Officer (DPO)| Consulente della Privacy Consulente e formatore in materia di protezione dei dati personali Dal 2001 mi occupo di consulenza tecnico-giuridica e formazione in materia di protezione dei dati personali per Pubbliche Amministrazioni ed Imprese. Relatore in numerosi convegni e seminari di approfondimento sul tema della privacy e sicurezza dei dati personali in eventi nazionali ed internazionali. Data Protection Officer e Consulente Privacy per Gruppi Imprenditoriali e Enti della Pubblica Amministrazione. Lead Auditor ISO/IEC 27001:2013 (Sistemi di Gestione della Sicurezza delle Informazioni) Delegato Regionale Sicilia Occidentale ASSO DPO it.linkedin.com/in/adrianobertolino @adrybertolino www.adrianobertolino.it info@adrianobertolino.it Certificato TÜV Italia n° CDP_272 conforme ISO/IEC 17024:2012 n° 004 Reg. Cepas SH124-SH162
Dott. Adriano Bertolino, DPO 29/04/2020 Data Breach
Dott. Adriano Bertolino, DPO 29/04/2020 Cos’è un Data Breach? «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati; R.I.D. = RISERVATEZZA, DISPONIBILITA’, INTEGRITA’
Dott. Adriano Bertolino, DPO 29/04/2020 Security Incident vs Data Breach Security Incident Data Breach
Dott. Adriano Bertolino, DPO 29/04/2020 Riconoscere un Data Breach TIPO DI BREACH DEFINIZIONE DISTRUZIONE “violazione della disponibilità” I dati personali, non sono più nella disponibilità del titolare, né di altri. PERDITA “violazione della disponibilità” I dati personali, non sono più nella disponibilità del titolare, ma potrebbero essere nella disponibilità di Terzi (lecitamente o illecitamente). MODIFICA “violazione dell’integrità” I dati personali, sono stati irreversibilmente modificati, senza possibilità di ripristinare lo stato originale. DIVULGAZIONE NON AUTORIZZATA “violazione della riservatezza” I dati personali, sono trasmessi a Terze parti senza il consenso dell’interessato o in violazione di norme e/o regolamenti aziendali. ACCESSO NON AUTORIZZATO “violazione della riservatezza” I dati personali, sono stati resi disponibili, anche temporaneamente, a persone non autorizzate ad accedere al dato secondo principio di pertinenza e non eccedenza, o secondo i regolamenti aziendali.
Bilancio Data Breach
Dott. Adriano Bertolino, DPO 29/04/2020 Alcuni Data Breach in Italia 05/11/2019 • Prefettura di Napoli: 400 Users mail nomi num di telefono; • Associazione Nazionale Polizia di Stato: 2904 password in chiaro e Admin password in MD5; • Camera dei Deputati: hacked e deface, +400 Database + XSS; • Istituto Grandi Infrastrutture: Password Admin in chiaro; • Ordine Avvocati Grosseto: Password Admins in MD5 • Ordine avvocati Arezzo: Password Admins in MD5 • Ordine avvocati Perugia: 2538 entries Users and email • UDAI Avvocati sez. Bari: +400 Users email e password; • Istituto Nazionale Tributaristi: 200 email, nomi, numeri di telefono.
Dott. Adriano Bertolino, DPO 29/04/2020 PRINCIPALE CAUSA DI DATA BREACH DI DATI PERSONALI? MANCANZA DI CONSAPEVOLEZZA Dati Personali NOTI: • Email e Documenti • Elenchi e Prospect • Clienti e Fornitori • Collaboratori Dati Personali SOMMERSI: • Copie su pendrive o cloud non gestiti • Post-it su monitor • Device personali (smartphone) • Dati da spazzatura • Accessi locali e remoti incustoditi
Dott. Adriano Bertolino, DPO 29/04/2020 Costo di un Data Breach Il costomedio di un DataBreach del2019 è di circa € 3,4 milioni per Incident Il costo di una singola violazione: > 1 milione record di dati persi = circa € 36 milioni > 50 milioni di record persi = circa € 300 milioni L’importo è costituito da 4 categorie: 1.Rilevamento ed escalation (31,1%) 2.Risposta post-violazione (27,3%) 3.Notifica (5,4%) 4.Perdita d’Affari (36,2%)
Dott. Adriano Bertolino, DPO 29/04/2020 Costo di un Data Breach La probabilità che un'organizzazione subisca una violazione dei dati nei prossimi due anni è di circa il 30%. + 1,3% rispetto al 2018; + 6,6% rispetto al 2017 Dati Infosec LA QUESTIONE NON E’ SE AVRO’ UN DATA BREACH, MA QUANDO!!!
Dott. Adriano Bertolino, DPO 29/04/2020 L’ANELLO DEBOLE… ANTIVIRUS NON AGGIORNATO MASSIMA PROTEZIONE VULNERABILITA’ FORMAZIONE NON EFFETTUATA DATA BREACH
Dott. Adriano Bertolino, DPO 29/04/2020 COME AFFRONTARE UN DATA BREACH? Misure di sicurezza adeguate per prevenire gli incidenti • Accessi non autorizzati o illeciti; • Perdita o distruzione dei dati ; • Danni accidentali; Policy Incident Management • Definire ruoli e responsabilità; • Procedure di risposta all’evento e contromisure; • Tempi di reazione per affrontare, valutare e risolvere l’incidente di sicurezza: Il Titolare del trattamento è responsabile della compliance di ogni trattamento effettuato e deve essere in grado di comprovarlo («accountability»)
Dott. Adriano Bertolino, DPO 29/04/2020 ELEMENTI DELLA PROCEDURA PER IL DATA BREACH RILEVAMENTO VALUTAZIONE CONTENIMENTO RISOLUZIONE REGISTRAZIONE NOTIFICA
Dott. Adriano Bertolino, DPO 29/04/2020 MISURE TECNICHE PER UN DATA BREACH I DATI DEI LOG POTREBBERO AIUTARE A DETERMINARE Fonte Causa Attore UTILIZZO DI TECNOLOGIE DI LOG ANALYSIS Definire alert specifici in base ai log raccolti STRUMENTI E TECNICHE DI LOG MANAGEMENT Data flow Software
Dott. Adriano Bertolino, DPO 29/04/2020 Notifica del Data Breach In caso di data breach (violazione dei dati personali) il Titolare dovrà comunicare entro 72 ore al Garante l’evento E Se tale violazione comporti elevati rischi per i diritti e le libertà degli interessati andrà comunicato tempestivamente anche a questi.
Dott. Adriano Bertolino, DPO 29/04/2020 Sanzioni: € 10.000.000 o, il 2% • art. 8: consenso del minore • art. 11: elaborazione che non richiede identificazione • art. 25: Privacy by design and by default • art. 26: Contitolarità • art. 27-28: Rappresentanti di titolariresponsabili del trattamento non stabiliti nell'UE • art. 26 -29 e 30: rispetto prescrizioni di nomina, autorizzazione e tenuta adeguata documentazione • art. 31: cooperazione con l'autorità di controllo • art. 32: Sicurezza dei dati • art. 33: Notifica di violazioni all'autorità di controllo • art. 34: Comunicazione di violazioni agli interessati • art. 35: valutazione dell'impatto sulla protezione dei dati • art. 36: consultazione preventiva • art. 37-39: Nomina DPO • art. 41 (4): monitoraggio dei codici di condotta approvati • art. 42: certificazione • art. 43: organismi di certificazione
Dott. Adriano Bertolino, DPO 29/04/2020 IL PERICOLO PIÙ GRANDE…? PERDITA DI CREDIBILITÀ SUL MERCATO BRAND REPUTATION
Dott. Adriano Bertolino, DPO 29/04/2020 Costruzione o consolidamento della fiducia con gli stakeholder Innovazione tecnologica nella sicurezza dei dati aziendali Crescita economica da brand Differenziazione dai competitor in base alla compliance COMPLIANCE GDPR = OPPORTUNITÀ
Dott. Adriano Bertolino, DPO 29/04/2020 Questions & Answers What? Who? Where? When? Why? How? Dott. Adriano Bertolino info@adrianobertolino.it mobile +39 3477167484

Recommended

Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
 
Evento SMAU - DATA BREACH
Evento SMAU - DATA BREACHEvento SMAU - DATA BREACH
Evento SMAU - DATA BREACHSWASCAN
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.Carlo Balbo
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPRCSI Piemonte
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 

Recommended

Data Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliData Breach: i rischi odierni e come prevenirli
Data Breach: i rischi odierni e come prevenirliCSI Piemonte
 
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
 
Evento SMAU - DATA BREACH
Evento SMAU - DATA BREACHEvento SMAU - DATA BREACH
Evento SMAU - DATA BREACHSWASCAN
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.Carlo Balbo
 
Oss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyOss. Informaton Security & Privacy
Oss. Informaton Security & PrivacyAlessandro Piva
 
Attacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteAttacchi e difese: l'esperienza del CSI Piemonte
Attacchi e difese: l'esperienza del CSI PiemonteCSI Piemonte
 
Videosorveglianza e GDPR
Videosorveglianza e GDPRVideosorveglianza e GDPR
Videosorveglianza e GDPRCSI Piemonte
 
ProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskProtezioneCyber - La soluzione assicurativa contro il cyber risk
ProtezioneCyber - La soluzione assicurativa contro il cyber riskM2 Informatica
 
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Maurizio Taglioretti
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauIgor Serraino
 
L'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàL'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàPietro Calorio
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceDiritto & Information and Communication Technology
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali ParmaPolaris informatica
 
BIG DATA E CYBERSECURITY
BIG DATA E CYBERSECURITYBIG DATA E CYBERSECURITY
BIG DATA E CYBERSECURITYSalomone & Travaglia Studio Legale
 
Luciano Corino - Sicurezza e protezione dei dati personali: verso il Regolam...
Luciano Corino - Sicurezza e protezione dei dati personali: verso il Regolam...Luciano Corino - Sicurezza e protezione dei dati personali: verso il Regolam...
Luciano Corino - Sicurezza e protezione dei dati personali: verso il Regolam...Cultura Digitale
 
Btc 2014 monica gobbato privacy e social
Btc 2014 monica gobbato privacy e socialBtc 2014 monica gobbato privacy e social
Btc 2014 monica gobbato privacy e socialMonica Gobbato
 
GDPR per psicologi, l'importanza della gestione dei dati
GDPR per psicologi, l'importanza della gestione dei datiGDPR per psicologi, l'importanza della gestione dei dati
GDPR per psicologi, l'importanza della gestione dei datiEdoardo Ferraro
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17EuroPrivacy
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...CSI Piemonte
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoAdriano Bertolino
 
Smau seminario data breach prima parte
Smau seminario data breach prima parte Smau seminario data breach prima parte
Smau seminario data breach prima parte Mauro Alovisio
 
Smau data breach v1
Smau data breach v1Smau data breach v1
Smau data breach v1Mauro Alovisio
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2SMAU
 

More Related Content

Similar to Gli obblighi del GDPR in caso di Data Breach

Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Maurizio Taglioretti
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comFrancesco Reitano
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauIgor Serraino
 
L'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàL'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàPietro Calorio
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali ParmaPolaris informatica
 
Luciano Corino - Sicurezza e protezione dei dati personali: verso il Regolam...
Luciano Corino - Sicurezza e protezione dei dati personali: verso il Regolam...Luciano Corino - Sicurezza e protezione dei dati personali: verso il Regolam...
Luciano Corino - Sicurezza e protezione dei dati personali: verso il Regolam...Cultura Digitale
 
Btc 2014 monica gobbato privacy e social
Btc 2014 monica gobbato privacy e socialBtc 2014 monica gobbato privacy e social
Btc 2014 monica gobbato privacy e socialMonica Gobbato
 
GDPR per psicologi, l'importanza della gestione dei dati
GDPR per psicologi, l'importanza della gestione dei datiGDPR per psicologi, l'importanza della gestione dei dati
GDPR per psicologi, l'importanza della gestione dei datiEdoardo Ferraro
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptCentoCinquanta srl
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorMaurizio Taglioretti
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17Paolo Calvi
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17EuroPrivacy
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoM2 Informatica
 
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...CSI Piemonte
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoAdriano Bertolino
 
Smau seminario data breach prima parte
Smau seminario data breach prima parte Smau seminario data breach prima parte
Smau seminario data breach prima parte Mauro Alovisio
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2SMAU
 

Similar to Gli obblighi del GDPR in caso di Data Breach (20)

Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
Introduzione al Regolamento Generale sulla Protezione dei Dati dell’ Unione E...
 
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.comWebinar GDPR e WEB Pirosoft & LegaleFacile.com
Webinar GDPR e WEB Pirosoft & LegaleFacile.com
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smau
 
L'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticitàL'adeguamento al GDPR: opportunità e criticità
L'adeguamento al GDPR: opportunità e criticità
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
 
Workshop Unione Industriali Parma
Workshop Unione Industriali ParmaWorkshop Unione Industriali Parma
Workshop Unione Industriali Parma
 
BIG DATA E CYBERSECURITY
BIG DATA E CYBERSECURITYBIG DATA E CYBERSECURITY
BIG DATA E CYBERSECURITY
 
Luciano Corino - Sicurezza e protezione dei dati personali: verso il Regolam...
Luciano Corino - Sicurezza e protezione dei dati personali: verso il Regolam...Luciano Corino - Sicurezza e protezione dei dati personali: verso il Regolam...
Luciano Corino - Sicurezza e protezione dei dati personali: verso il Regolam...
 
Btc 2014 monica gobbato privacy e social
Btc 2014 monica gobbato privacy e socialBtc 2014 monica gobbato privacy e social
Btc 2014 monica gobbato privacy e social
 
GDPR per psicologi, l'importanza della gestione dei dati
GDPR per psicologi, l'importanza della gestione dei datiGDPR per psicologi, l'importanza della gestione dei dati
GDPR per psicologi, l'importanza della gestione dei dati
 
GDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy ptGDPR -nuova normativa privacy pt
GDPR -nuova normativa privacy pt
 
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix AuditorCombattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
Combattere il Ransomware e adeguarsi alla GDPR con Netwrix Auditor
 
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 175. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
5. sergio fumagalli il gdpr e le pmi, i codici di condotta -convegno 17 01 17
 
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy EuropeoGDPR 2018 - Il nuovo Regolamento Privacy Europeo
GDPR 2018 - Il nuovo Regolamento Privacy Europeo
 
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
L'organigramma privacy e le responsabilità connesse; il riscontro agli intere...
 
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - PalermoLe novità del GDPR 2016/679 - Linux Day 2017 - Palermo
Le novità del GDPR 2016/679 - Linux Day 2017 - Palermo
 
Smau seminario data breach prima parte
Smau seminario data breach prima parte Smau seminario data breach prima parte
Smau seminario data breach prima parte
 
Smau data breach v1
Smau data breach v1Smau data breach v1
Smau data breach v1
 
Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2Smau Milano 2016 - CSIG - Data Breach Parte 2
Smau Milano 2016 - CSIG - Data Breach Parte 2
 

Gli obblighi del GDPR in caso di Data Breach

  • 1. DATA BREACH: DIETRO LE QUINTE DI UN ATTACCO INFORMATICO Gli obblighi del GDPR in caso di Data Breach Webinar - 29 aprile 2020 Webcast: https://youtu.be/mfOFz2-M1zE?t=508
  • 2. Dott. Adriano Bertolino, DPO 29/04/2020 CHI SONO? DOTT. ADRIANO BERTOLINO Data Protection Officer (DPO)| Consulente della Privacy Consulente e formatore in materia di protezione dei dati personali Dal 2001 mi occupo di consulenza tecnico-giuridica e formazione in materia di protezione dei dati personali per Pubbliche Amministrazioni ed Imprese. Relatore in numerosi convegni e seminari di approfondimento sul tema della privacy e sicurezza dei dati personali in eventi nazionali ed internazionali. Data Protection Officer e Consulente Privacy per Gruppi Imprenditoriali e Enti della Pubblica Amministrazione. Lead Auditor ISO/IEC 27001:2013 (Sistemi di Gestione della Sicurezza delle Informazioni) Delegato Regionale Sicilia Occidentale ASSO DPO it.linkedin.com/in/adrianobertolino @adrybertolino www.adrianobertolino.it info@adrianobertolino.it Certificato TÜV Italia n° CDP_272 conforme ISO/IEC 17024:2012 n° 004 Reg. Cepas SH124-SH162
  • 3. Dott. Adriano Bertolino, DPO 29/04/2020 Data Breach
  • 4. Dott. Adriano Bertolino, DPO 29/04/2020 Cos’è un Data Breach? «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati; R.I.D. = RISERVATEZZA, DISPONIBILITA’, INTEGRITA’
  • 5. Dott. Adriano Bertolino, DPO 29/04/2020 Security Incident vs Data Breach Security Incident Data Breach
  • 6. Dott. Adriano Bertolino, DPO 29/04/2020 Riconoscere un Data Breach TIPO DI BREACH DEFINIZIONE DISTRUZIONE “violazione della disponibilità” I dati personali, non sono più nella disponibilità del titolare, né di altri. PERDITA “violazione della disponibilità” I dati personali, non sono più nella disponibilità del titolare, ma potrebbero essere nella disponibilità di Terzi (lecitamente o illecitamente). MODIFICA “violazione dell’integrità” I dati personali, sono stati irreversibilmente modificati, senza possibilità di ripristinare lo stato originale. DIVULGAZIONE NON AUTORIZZATA “violazione della riservatezza” I dati personali, sono trasmessi a Terze parti senza il consenso dell’interessato o in violazione di norme e/o regolamenti aziendali. ACCESSO NON AUTORIZZATO “violazione della riservatezza” I dati personali, sono stati resi disponibili, anche temporaneamente, a persone non autorizzate ad accedere al dato secondo principio di pertinenza e non eccedenza, o secondo i regolamenti aziendali.
  • 8. Dott. Adriano Bertolino, DPO 29/04/2020 Alcuni Data Breach in Italia 05/11/2019 • Prefettura di Napoli: 400 Users mail nomi num di telefono; • Associazione Nazionale Polizia di Stato: 2904 password in chiaro e Admin password in MD5; • Camera dei Deputati: hacked e deface, +400 Database + XSS; • Istituto Grandi Infrastrutture: Password Admin in chiaro; • Ordine Avvocati Grosseto: Password Admins in MD5 • Ordine avvocati Arezzo: Password Admins in MD5 • Ordine avvocati Perugia: 2538 entries Users and email • UDAI Avvocati sez. Bari: +400 Users email e password; • Istituto Nazionale Tributaristi: 200 email, nomi, numeri di telefono.
  • 9. Dott. Adriano Bertolino, DPO 29/04/2020 PRINCIPALE CAUSA DI DATA BREACH DI DATI PERSONALI? MANCANZA DI CONSAPEVOLEZZA Dati Personali NOTI: • Email e Documenti • Elenchi e Prospect • Clienti e Fornitori • Collaboratori Dati Personali SOMMERSI: • Copie su pendrive o cloud non gestiti • Post-it su monitor • Device personali (smartphone) • Dati da spazzatura • Accessi locali e remoti incustoditi
  • 10. Dott. Adriano Bertolino, DPO 29/04/2020 Costo di un Data Breach Il costomedio di un DataBreach del2019 è di circa € 3,4 milioni per Incident Il costo di una singola violazione: > 1 milione record di dati persi = circa € 36 milioni > 50 milioni di record persi = circa € 300 milioni L’importo è costituito da 4 categorie: 1.Rilevamento ed escalation (31,1%) 2.Risposta post-violazione (27,3%) 3.Notifica (5,4%) 4.Perdita d’Affari (36,2%)
  • 11. Dott. Adriano Bertolino, DPO 29/04/2020 Costo di un Data Breach La probabilità che un'organizzazione subisca una violazione dei dati nei prossimi due anni è di circa il 30%. + 1,3% rispetto al 2018; + 6,6% rispetto al 2017 Dati Infosec LA QUESTIONE NON E’ SE AVRO’ UN DATA BREACH, MA QUANDO!!!
  • 12. Dott. Adriano Bertolino, DPO 29/04/2020 L’ANELLO DEBOLE… ANTIVIRUS NON AGGIORNATO MASSIMA PROTEZIONE VULNERABILITA’ FORMAZIONE NON EFFETTUATA DATA BREACH
  • 13. Dott. Adriano Bertolino, DPO 29/04/2020 COME AFFRONTARE UN DATA BREACH? Misure di sicurezza adeguate per prevenire gli incidenti • Accessi non autorizzati o illeciti; • Perdita o distruzione dei dati ; • Danni accidentali; Policy Incident Management • Definire ruoli e responsabilità; • Procedure di risposta all’evento e contromisure; • Tempi di reazione per affrontare, valutare e risolvere l’incidente di sicurezza: Il Titolare del trattamento è responsabile della compliance di ogni trattamento effettuato e deve essere in grado di comprovarlo («accountability»)
  • 14. Dott. Adriano Bertolino, DPO 29/04/2020 ELEMENTI DELLA PROCEDURA PER IL DATA BREACH RILEVAMENTO VALUTAZIONE CONTENIMENTO RISOLUZIONE REGISTRAZIONE NOTIFICA
  • 15. Dott. Adriano Bertolino, DPO 29/04/2020 MISURE TECNICHE PER UN DATA BREACH I DATI DEI LOG POTREBBERO AIUTARE A DETERMINARE Fonte Causa Attore UTILIZZO DI TECNOLOGIE DI LOG ANALYSIS Definire alert specifici in base ai log raccolti STRUMENTI E TECNICHE DI LOG MANAGEMENT Data flow Software
  • 16. Dott. Adriano Bertolino, DPO 29/04/2020 Notifica del Data Breach In caso di data breach (violazione dei dati personali) il Titolare dovrà comunicare entro 72 ore al Garante l’evento E Se tale violazione comporti elevati rischi per i diritti e le libertà degli interessati andrà comunicato tempestivamente anche a questi.
  • 17. Dott. Adriano Bertolino, DPO 29/04/2020 Sanzioni: € 10.000.000 o, il 2% • art. 8: consenso del minore • art. 11: elaborazione che non richiede identificazione • art. 25: Privacy by design and by default • art. 26: Contitolarità • art. 27-28: Rappresentanti di titolariresponsabili del trattamento non stabiliti nell'UE • art. 26 -29 e 30: rispetto prescrizioni di nomina, autorizzazione e tenuta adeguata documentazione • art. 31: cooperazione con l'autorità di controllo • art. 32: Sicurezza dei dati • art. 33: Notifica di violazioni all'autorità di controllo • art. 34: Comunicazione di violazioni agli interessati • art. 35: valutazione dell'impatto sulla protezione dei dati • art. 36: consultazione preventiva • art. 37-39: Nomina DPO • art. 41 (4): monitoraggio dei codici di condotta approvati • art. 42: certificazione • art. 43: organismi di certificazione
  • 18. Dott. Adriano Bertolino, DPO 29/04/2020 IL PERICOLO PIÙ GRANDE…? PERDITA DI CREDIBILITÀ SUL MERCATO BRAND REPUTATION
  • 19. Dott. Adriano Bertolino, DPO 29/04/2020 Costruzione o consolidamento della fiducia con gli stakeholder Innovazione tecnologica nella sicurezza dei dati aziendali Crescita economica da brand Differenziazione dai competitor in base alla compliance COMPLIANCE GDPR = OPPORTUNITÀ
  • 20. Dott. Adriano Bertolino, DPO 29/04/2020 Questions & Answers What? Who? Where? When? Why? How? Dott. Adriano Bertolino info@adrianobertolino.it mobile +39 3477167484