Cybersecurity e comportamenti pericolosi: come mettere i dati al riparo.
1 Introduzione al nuovo Regolamento Europeo per mla Protezione dei Dati Personali (GDPR)
2 Misure di sicurezza
3 Il ruolo del Responsabile per la Protezione dei Dati Personali (DPO)
2. Dipartimenti e
settori di mercato
Avvocati a livello globale
+ 2100 professionisti Anni di crescita consecutiva
Dal 1998 organizzazione per settori chiave
28 sedi in 19 paesi
Ricavo globale superato per la prima volta
nel 2014/2015
Bird & Bird & Chi siamo
In Italia abbiamo 13 partner e oltre 120 professionisti che operano dalle sedi di Milano
e Roma.
Overview globale
3. Argomenti trattati
1) Introduzione al nuovo Regolamento Europeo per la Protezione dei
Dati Personali ("GDPR")
2) Misure di sicurezza
3) Responsabile per la protezione dei dati personali (Data Protection
Officer – DPO).
4. Il nuovo Regolamento europeo 679/2016
Nuova normativa europea
● Il GDPR disciplina la protezione delle persone fisiche con
riguardo al trattamento dei dati personali, nonché la libera
circolazione di tali dati
● Entrato in vigore dal 25 maggio 2016, sarà direttamente
applicabile in tutti gli Stati Membri a partire dal 25 maggio 2018
● Abroga la Direttiva 95/46/CE e leggi nazionali che implementano
tale direttiva (e.g. Codice Privacy).
5. Il nuovo Regolamento europeo 679/2016
Art. 32 – Sicurezza del trattamento
"…il titolare del trattamento e il responsabile del trattamento
mettono in atto misure tecniche e organizzative adeguate per
garantire un livello di sicurezza adeguato al rischio, che
comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei
dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia
delle misure tecniche e organizzative al fine di garantire la sicurezza del
trattamento.
Misure di sicurezza
6. Il nuovo Regolamento europeo 679/2016
TO DO
Analisi dei rischi
Valutazione delle misure tecniche (IT) e organizzative (es. procedure,
policy) adeguate ai rischi presentati dal trattamento che derivano
dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non
autorizzata o dall'accesso, in modo accidentale o illegale, a dati
personali trasmessi, conservati o comunque trattati
Verifica dello stato dell’arte, dei costi, della natura, finalità e contesto
di trattamento etc.
Misure di sicurezza
7. Il nuovo Regolamento europeo 679/2016
In caso di violazione dei dati…
Titolare del
trattamento
Notifica della violazione alle
autorità competenti entro 72 ore
Comunicazione (senza
ingiustificato ritardo)
all’interessato in caso di possibili
rischi per lo stesso
Responsabile
8. Il nuovo Regolamento europeo 679/2016
Art. 33 “In caso di violazione dei dati personali, il titolare del
trattamento notifica la violazione all'autorità di controllo
competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove
possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a
meno che sia improbabile che la violazione dei dati personali presenti
un rischio per i diritti e le libertà delle persone fisiche. Qualora la
notifica all'autorità di controllo non sia effettuata entro 72 ore, è
corredata dei motivi del ritardo”.
Notifica di una violazione dei dati personali all’autorità di controllo
9. Il nuovo Regolamento europeo 679/2016
“…Il titolare del trattamento documenta qualsiasi violazione dei
dati personali, comprese le circostanze a essa relative, le sue
conseguenze e i provvedimenti adottati per porvi rimedio.
Tale documentazione consente all'autorità di controllo di verificare il
rispetto del presente articolo”.
Più in generale, il GDPR introduce il concetto di accountability, ossia
di attribuzione di responsabilità a tutti i soggetti che collaborano alla
gestione dei dati personali, per cui ogni operazione di gestione e
trattamento deve essere registrata, documentata e deve risultare
tracciabile (sul modello della “scatola nera”).
Notifica di una violazione dei dati personali all’autorità di controllo
10. Il nuovo Regolamento europeo 679/2016
Qualora vi sia un rischio elevato per i diritti e le libertà delle
persone fisiche, il titolare del trattamento comunica la violazione
all’interessato senza ingiustificato ritardo.
Tale comunicazione non è dovuta quando:
le misure di protezione applicate ai dati oggetto di violazione
risultavano adeguate e in particolare erano tali da rendere detti dati
incomprensibili ai non autorizzati (i.e. cifratura);
misure atte a scongiurare detti rischi sono state adottate
successivamente;
la comunicazione richiederebbe sforzi sproporzionati (potrebbe essere
sufficiente una comunicazione pubblica).
Comunicazione di una violazione dei dati personali all’interessato
11. Il nuovo Regolamento europeo 679/2016
Art. 35 “Quando un tipo di trattamento, allorché prevede in particolare
l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le
finalità del trattamento, può presentare un rischio elevato per i
diritti e le libertà delle persone fisiche, il titolare del trattamento
effettua, prima di procedere al trattamento, una valutazione
dell'impatto dei trattamenti previsti sulla protezione dei dati
personali ”.
Valutazione d'impatto sulla protezione dei dati e consultazione
preventiva
12. Il nuovo Regolamento europeo 679/2016
Approccio basato sulla valutazione dei rischi e l’adozione di policy
proporzionate alle finalità del trattamento e alla tipologia di dati trattati.
Il titolare ed il responsabile devono adottare misure tecniche ed
organizzative volte ad assicurare un livello di sicurezza adeguato ai rischi,
tenuto conto:
dello stato dell’arte e costi di realizzazione;
della natura, contesto, oggetto e finalità del trattamento;
dei rischi per i diritti e la libertà delle persone fisiche e la loro
probabilità e gravità.
Valutazione d'impatto sulla protezione dei dati e consultazione
preventiva
13. Il nuovo Regolamento europeo 679/2016
Il DPO è tenuto a:
possedere un'adeguata conoscenza della normativa sulla protezione
dei dati ed essere un supporto strategico per l’attività del titolare
adempiere alle sue funzioni in piena indipendenza e in assenza di
conflitti di interesse
non divulgare alcuna informazione relativa all’adempimento dei
propri compiti
operare alle dipendenze del titolare o del responsabile oppure sulla
base di un contratto di servizio (DPO esterno) => il titolare o il
responsabile dovranno mettergli a disposizione le risorse necessarie
per assolvere ai suoi compiti e mantenere la propria conoscenza
specialistica.
La figura del Responsabile per la protezione dei dati
(Data Privacy Officer - DPO)
14. Il nuovo Regolamento europeo 679/2016
Nomina DPO
Autorità o
organismi
pubblici
(alcune
eccezioni)
Titolari e
Responsabili
le cui attività
principali di
trattamento
richiedano:
Monitoraggio sistematico
e regolare degli individui
‘su larga scala’
Trattamenti di categorie
particolari di dati su
‘larga scala’
e
Possibile la nomina facoltativa fuori dalle ipotesi obbligatorie.
15. Il nuovo Regolamento europeo 679/2016
Compiti principali del DPO
DPO
Consulenza
…informare e consigliare
(i) il titolare/responsabile
del trattamento (ii) i
dipendenti che eseguono il
trattamento dei dati
personali, in merito agli
obblighi derivanti dal
regolamento
Controllo
…verificare (i) l'attuazione e
l'applicazione delle norme
privacy, (ii) le policy interne,
l'attribuzione delle
responsabilità, la formazione
del personale e gli audit
Verifica
…fornire pareri in
relazione al DPIA e
sorvegliarne lo
svolgimento
Cooperazione
…con le autorità di controllo
Referente
…agire quale punto di
contatto con le autorità su
tutte le questioni relative
al trattamento dei dati
16. Il nuovo Regolamento europeo 679/2016
Minacce
Attacchi esterni
Problemi tecnici
Pericoli interni
• Accesso ai dati inibito
• Difetti operativi
• Perdita di dati
• Accessi non autorizzati da
parte di dipendenti
• Mancanza di training del
personale
• Acquisizione indebita
• Modifica dei dati
• Acquisizione di dati
• Spionaggio/furto
• Modifica dei dati
17. Grazie
Avv. Gian Marco Rinaldi
gianmarco.rinaldi@twobirds.com
Tel: +390230356000
Cell.: +393393443649