Il 25 maggio 2018 entrerà in vigore il Regolamento Generale sulla Protezione dei Dati (in inglese, General Data Protection Regulation, meglio nota come GDPR): la normativa apporterà un significativo cambiamento alle modalità di gestione e protezione dei dati personali da parte delle aziende.
2. GDPR: LA NUOVA ERA DELLA PROTEZIONE DEI DATI
3
Ci sono solo due tipi di aziende:
quelle che sono state attaccate
e quelle che ancora non lo sono state.
Robert Mueller - FBI Director, 2012
INDICE
IN BREVE
Il regolamento GDPR 4
Oggetto del GDPR 5
Dati personali 6
Categorie particolari di dati sensibili 7
Processo di trattamento dei dati 8
Concetti chiave 10
Visione aziendale sulla privacy 12
LA NOSTRA SOLUZIONE
Proarx the future of data protection 16
3. GDPR: LA NUOVA ERA DELLA PROTEZIONE DEI DATI GDPR: LA NUOVA ERA DELLA PROTEZIONE DEI DATI
4 5
IN BREVE
OGGETTO DEL GDPR
Il nuovo regolamento proclama esplicitamente la tutela del
diritto alla protezione dei dati personali, inteso come diritto
fondamentale delle persone fisiche, secondo l’Art. 1 par. 2.
Il dato personale rappresenta lo strumento tecnico-giuridico
attraverso il quale si tutelano l’insieme dei diritti collegati
all’identità personale.
Il dato personale è un concetto dinamico, da riferirsi sempre
al contesto: cioè, se un’informazione isolata non è in grado di
portare all’identificazione di un individuo, il fatto che detta
informazione possa essere utilizzata per l’identificazione
tramite incrocio con altri dati ne determina la natura di dato
personale.
Non occorre, inoltre, che l’informazione sia in grado di
individuare fisicamente la persona per essere considerata
dato personale.
All’interno della macrocategoria dei dati personali sono
maggiormente significative 3 tipologie di dati:
• Identificativi che consentono l’identificazione diretta (es.
dati anagrafici - nome e cognome - le immagini...);
• Sensibili, cosiddetti nella precedente normativa - che
rivelano l’origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l’adesione
a partiti, sindacati, associazioni od organizzazioni a
carattere religioso, filosofico, politico o sindacale - con il
nuovo regolamento emerge l’importanza di dati genetici
- per identificare lo stato di salute e/o la vita sessuale - e
dati biometrici - ad es. un gruppo di fotografie caricate
online utilizzate per riconoscere in modo univoco una
persona, per esempio negli aeroporti dove l’immagine
dell’individuo viene scansionata per l’identificazione;
• Giudiziari che indicano l’esistenza di determinati
provvedimenti giudiziari soggetti ad iscrizione nel
casellario giudiziale (es. i provvedimenti penali di condanna
definitivi, la liberazione condizionale, il divieto od obbligo
di soggiorno, le misure alternative alla detenzione - o la
qualità di imputato o di indagato).
Il GDPR attribuisce notevole rilievo ai dati personali e alle
categorie particolari di dati personali, o meglio a quei dati
soggetti a trattamento speciale.
IN BREVE
IL REGOLAMENTO GDPR
Pubblicata nella Gazzetta Ufficiale europea il 4 maggio 2016 ed entrata in vigore
il 24 maggio 2016, a distanza di due anni trova la sua attuazione diretta in Italia la
normativa che riformerà la legislazione europea in materia di protezione dei dati.
Il 25 maggio 2018 entrerà in vigore il Regolamento Generale sulla Protezione
dei Dati (in inglese, General Data Protection Regulation, meglio nota come
GDPR): la normativa apporterà un significativo cambiamento alle modalità di
gestione e protezione dei dati personali da parte delle aziende.
IL GDPR, INFATTI, SARÀ APPLICATO AL TRATTAMENTO:
• Dei dati in capo a titolari e responsabili del trattamento nell’Unione
Europea indipendentemente dal fatto che il trattamento avvenga, o meno,
in UE;
• Di dati personali di cittadini dell’UE in capo a titolari e responsabile del
trattamento extra UE, correlato ad offerta di beni e servizi a cittadini UE o al
monitoraggio di comportamenti aventi luogo nell’UE.
IL GDPR È DESTINATO A
Armonizzare le normative sulla
protezione dei dati in tutta Europa
Ridefinire l’approccio delle aziende alla
protezione dei dati
Restituire ai cittadini UE il controllo e
proteggere la privacy dei loro dati
MILIONI DI € DEL FATTURATO
MONDIALE
TOTALE ANNUO
20 OPPURE 4%
SANZIONI FINO A
4. 6 7
GDPR: LA NUOVA ERA DI PROTEZIONE DEI DATIGDPR: LA NUOVA ERA DI PROTEZIONE DEI DATI
Il GDPR definisce come dato personale una qualsiasi informazione (nome, codice
fiscale, immagine, voce, impronta digitale, traffico telefonico) riguardante
una persona fisica identificata o identificabile, anche indirettamente, o
informazioni relative ad una persona di identità nota o accertabile attraverso
informazioni supplementari.
Nelle categorie particolari di dati personali sono racchiusi quei dati, noti come
sensibili, già tutelati dalla Convenzione 108 (e a cui viene rafforzata la tutela con
la prescrizione del consenso esplicito) per garantire la libertà di pensiero e di
opinione, la dignità della persona e la libertà da possibili discriminazioni, e viene
esplicitata l’introduzione fondamentale dei dati genetici e biometrici.
IN BREVE
DATI
PERSONALI
IN BREVE
CATEGORIE PARTICOLARI
DI DATI SENSIBILI
« »
INDIRIZZI IP
DATI RELATIVI ALL’UBICAZIONE
DATI COOKIE
TAG RFID
NUMERI IDENTIFICATIVI
NOME
DATI SU ORIGINE RAZZIALE O ETNICA
DATI GENETICI
OPINIONI POLITICHE
DATI BIOMETRICI
ORIENTAMENTO SESSUALE
DATI RELATIVI ALLA SALUTE
Il GDPR si applica a tutte le aziende
che raccolgono e trattano i dati dei cittadini UE,
a prescindere dall’ubicazione geografica.
5. GDPR: LA NUOVA ERA DELLA PROTEZIONE DEI DATI
8 9
INTERESSATO
Organizzazione
TITOLARE DEL
TRATTAMENTO*
Fornitore terzo
RESPONSABILE DEL
TRATTAMENTO**
AUTORITÀ
DI PROTEZIONE DEI DATI
DATI PERSONALI TRATTAMENTO
DEI DATI
Base giuridica del trattamento Contratto
IN BREVE
PROCESSO
DI TRATTAMENTO
DEI DATI
** Si fa riferimento a qualunque persona fisica o giuridica che tratta
dati personali per conto del titolare del trattamento.
* Trattasi di persona fisica o giuridica che definisce le finalità e i
mezzi del trattamento dei dati personali e ha la responsabilità di
accertarsi del rispetto del regolamento. I titolari del trattamento
devono assicurare la presenza di contratti che regolamenti il
trattamento dei dati.
GDPR: LA NUOVA ERA DI PROTEZIONE DEI DATIGDPR: LA NUOVA ERA DI PROTEZIONE DEI DATI
6. GDPR: LA NUOVA ERA DELLA PROTEZIONE DEI DATI GDPR: LA NUOVA ERA DELLA PROTEZIONE DEI DATI
10 11
IN BREVE
CONCETTI CHIAVE
ACCOUNTABILITY
Prova del rispetto
delle norme
CONFORMITÀ
Accertamento del rispetto
delle norme
GESTIONE
Tutela dei dati costante e
monitoraggio della protezione
Nel nuovo regolamento il principio di autodeterminazione informativa è
cardine ed è un concetto già emerso in una precedente sentenza della Corte
Costituzionale che lo indica come condizione necessaria per il libero sviluppo
della personalità del cittadino, nonché un elemento essenziale di una società
democratica.
Inoltre il forte accento posto sull’accountability* - tradotto impropriamente con
“responsabilizzazione” - del titolare e dei responsabili del trattamento orienta
verso la reale adozione di comportamenti proattivi a dimostrazione della concreta
(e non puramente formale) applicazione del regolamento che intende elevarsi a
framework per la creazione di una cultura della protezione dei dati all’interno delle
organizzazioni.
Appare evidente la necessità di attuare misure di tutela e garanzia dei dati
trattati, con un approccio del tutto nuovo che demanda ai titolari il compito di
decidere in modo autonomo le modalità e i limiti del trattamento dei dati secondo
i criteri specificati nel regolamento stesso.
Consenso
Il consenso dell’interessato definisce qualunque
manifestazione di volontà libera, specifica,
informata e inequivocabile con cui l’interessato
dimostra il proprio assenso al trattamento dei
propri dati personali, purché avvenga attraverso
dichiarazione o azione positiva.
Privacy by Design
Secondo questo principio i prodotti e i servizi
dovranno essere progettati fin dall’inizio con un
particolare occhio alla tutela della privacy degli
utenti, cioè il trattamento deve essere previsto e
configurato fin dall’inizio prevedendo le garanzie
per tutelare i diritti degli interessati.
Trasparenza
Il concetto di trasparenza implica che le aziende
debbano fornire informazioni chiare, concise,
trasparenti, complete e facilmente accessibili
a coloro che richiedono informazioni sul
trattamento dei loro dati.
Privacy by Default
Ad un nuovo acquisto di un cliente - grazie a
questo principio - vengono applicate in modo
automatico le impostazioni di privacy più
rigorose; o meglio, non dovrebbero essere
necessarie modifiche manuali alle impostazioni
sulla privacy da parte del cliente.
Valutazione
d’impatto (PIA)
La valutazione d’impatto - o PIA, Privacy
Impact Assessment - è cruciale per la tutela
della privacy e della conformità di processi
e servizi al regolamento. In particolare, ha
l’obiettivo di raccontare l’approccio adottabile da
un’azienda per ridurre eventuali rischi: o meglio,
descrivere sistematicamente le attività di
trattamento dei dati previste e la base giuridica
sottostante ad esse.
Pseudonimizzazione
Tecnica di protezione della privacy per la quale
i dati personali trattati non sono attribuibili
ad una persona specifica e si necessita
di informazioni aggiuntive - conservate
separatamente e soggette a controlli
organizzativi e altre misure - per identificare
specificatamente una persona.
PROVA GESTIONE APPLICAZIONE
7. GDPR: LA NUOVA ERA DELLA PROTEZIONE DEI DATI GDPR: LA NUOVA ERA DELLA PROTEZIONE DEI DATI
12 13
PROCESSI
DI BUSINESS
SISTEMI
ITA BIl primo dovrebbe guidare i requisiti e le attività, nel lungo
termine, di conformità al regolamento.
Il secondo dovrebbe orientare le attività di riduzione
delle violazioni dei dati.
Gestione e attenuazione dei rischi quantificati Diagrammi di flusso dei dati
Contratti legali Controlli di sicurezza
Diagrammi di flusso di informazioni di alto livello Allineamento tra implementazione tecnica
e descrizione del trattamento
Descrizione e liceità del trattamento dei dati API e contatti API
Ciclo di vita dei dati, dal punto di vista
di un processo o customer journey
Ciclo di vita dei dati, dal punto di vista
dell’implementazione tecnica
IN BREVE
VISIONE AZIENDALE
SULLA PRIVACY
Il rispetto del regolamento determina profondi cambiamenti nelle diverse funzioni organizzative
facendo emergere, anche, la diversità dei rischi collegati al GDPR o alla privacy. La procedura per
la privacy di dati dovrebbe permettere di differenziare i vari scenari di rischio e fornire strategie di
riduzione dello stesso congrue alle situazioni.
Generalmente le aziende dovrebbero agire su due fronti: i processi di business e sistemi IT.
8. GDPR: LA NUOVA ERA DELLA PROTEZIONE DEI DATI GDPR: LA NUOVA ERA DELLA PROTEZIONE DEI DATI
14 15
1 32 4
CHI DEVE ESSERE COINVOLTO
Sicurezza informatica
Il ruolo più rilevante da attivare per il rispetto del GDPR è il DPO - Data Protection
Officer - in quanto decision maker di massimo livello nella sfera della sicurezza
informatica e nella protezione aziendale dagli attacchi che comportano perdite di dati.
Questa figura deve essere autonoma e indipendente; e può essere interna o esterna
all’azienda.
Il coinvolgimento del DPO è cruciale per la definizione dei piani GDPR, fondamentali
per alcune modifiche normative in ambito di violazione e privacy dei dati.
CHIUNQUE LAVORI NELLA SICUREZZA IT DEVE ADOPERARSI IN ALCUNE AREE GENERALI
NELLA FASE PREPARATORIA AL GDPR:
COMPRENDERE I RISCHI:
I team di sicurezza IT devono conoscere specificatamente
quali dati personali di cittadini UE siano raccolti e se
l’esposizione possa definirsi una violazione del GDPR.
PREVENIRE LE VIOLAZIONI:
Significa minimizzare il grado di rischio di una violazione dei
dati con misure di protezione che rendono meno semplice
l’attacco.
RILEVAZIONE VIOLAZIONI E RAPIDA RISPOSTA:
Notificare entro 72 ore comporta una capacità di reazione
alla violazione molto rapida dei team di sicurezza.
OLTRE IL GDPR:
I team di sicurezza devono considerare altri aspetti dei rischi
che hanno impatto sulla cyber security sebbene non indicati
in modo esplicito nel GDPR..
ART 5
Trattamento dati personali: protezione
contro elaborazione non autorizzata,
perdita accidentale, distruzione e
danneggiamento
ART 32
Sicurezza del trattamento: capacità di
garantire la riservatezza, l’integrità, la
disponibilità e la resilienza dei sistemi e dei
servizi di trattamento.
ART 33
Violazione dei dati personali: procedure di
rilevamento e indagine sulle violazioni dei
dati personali e segnalazione entro 72 ore
all’autorità competente.
LE LEGGI CHE COINVOLGONO LA SICUREZZA INFORMATICA
9. GDPR: LA NUOVA ERA DELLA PROTEZIONE DEI DATI GDPR: LA NUOVA ERA DELLA PROTEZIONE DEI DATI
16 17
LA NOSTRA SOLUZIONE
Proarx
The Future of Data Protection
Proarx è una piattaforma hardware e software per l’erogazione
continuativa di servizi di cybersecurity sviluppata da We Are
Segment.
L’architettura hardware è stata calibrata per la gestione di piccole
reti aziendali. Tuttavia l’architettura software è in grado di gestire
anche reti di dimensioni maggiori senza bisogno di ulteriori
implementazioni.
Proarx è un prodotto completo che copre tutti i bisogni di
Funzionalità
Asset Management
Mappatura e rilevamento automatico dei dispositivi collegati in rete
Vulnerability Assesment
Identificazione delle potenziali vulnerabilità presenti nella rete
Protezione dei dati
Firewall con sistema di prevenzione attacchi (IPS)
Inventario Hardware & Software
Mappatura dei dispositivi e software
Documento GDPR
Questionario pre-assesment per stato di conformità
External Security
Network Vulnerability Assessment esterno
Reportistica
Documentazione scaricabile per attività GDPR e di sicurezza
Gestione dati
Aggregazione dati su piattaforma in Cloud
un’azienda in ambito protezione dati e sicurezza informatica.
RISPETTO DEL GDPR
Proarx è una soluzione informatica in grado di aiutarti nella
gestione dei requisiti richiesti dalla normativa europea GDPR.
Il questionario pre-assessment consente di verificare lo stato di
conformità delle aziende, dei processi e delle procedure in uso
in tema di trattamento dati. Inoltre consente di determinare le
azione da porre in atto per adempiere alle norme della GDPR.
10. GDPR: LA NUOVA ERA DELLA PROTEZIONE DEI DATI
18
Ogni individuo ha diritto alla vita,
alla libertà e alla sicurezza
della propria persona.
Dichiarazione Universale dei Diritti dell’Uomo,
Articolo 3, 1948
info@wearesegment.com