Europrivacy

Aggiornamento 24 maggio 2016

A marzo 2015 eravamo ancora in attesa dell'approvazione definitiva del Regolamento e della pubblicazione in Gazzetta Ufficiale Europea, avvenuta oggi, e quindi in occasione della presenza del Presidente dell'Autorità Garante On. Antonello Soro a Security Summit avevamo annunciato la creazione di un osservatorio permanente su questo importante tema.

L'osservatorio è stato creato poco tempo dopo insieme ad Aused e a Clusit ed è raggiungibile a questo link.

In vista della futura emanazione di un Regolamento Europeo per la protezione dei dati personali e la libera circolazione degli stessi all'interno dell'Unione, un gruppo eterogeneo di professionisti provenienti da studi legali, dipartimenti IT di grandi aziende italiane e società di consulenza, ha svolto un'analisi critica del testo approvato dal Parlamento Europeo a marzo 2014 e delle raccomandazioni approvate dal Consiglio Europeo a dicembre 2014.

Internet banking, e-commerce e pagamenti via internet, apps-stores, servizi cloud, Big Data: i nuovi servizi digitali, resi possibili dall'evoluzione tecnologica, implicano sempre più la fiducia dei consumatori e delle imprese.

La sicurezza dei dati personali ed il governo dei rischi ad essi correlati è pertanto un tassello fondamentale per la costituzione delle relazioni sociali ed economiche, e la nuova legislazione in corso di approvazione risponde alla necessità di avere un regolamento, come già avviene settorialmente per alcuni ambiti specifici, in linea con i rischi cui i dati​​sono esposti nell'attuale panorama tecnologico.

Motivazioni degli autori

Aggiornamento 24 maggio 2016

A marzo 2015 eravamo ancora in attesa dell'approvazione definitiva del Regolamento e della pubblicazione in Gazzetta Ufficiale Europea, avvenuta oggi, e quindi in occasione della presenza del Presidente dell'Autorità Garante On. Antonello Soro a Security Summit avevamo annunciato la creazione di un osservatorio permanente su questo importante tema.

L'osservatorio è stato creato poco tempo dopo insieme ad Aused e a Clusit ed è raggiungibile a questo link.

Le analisi e gli estratti pubblicati sul presente sito internet sono frutto dell'impegno di una community di professionisti di diverse aziende con dimensioni eterogenee, con diversi profili, e background sia di stampo tecnico sia di stampo legale.

Obiettivo di tale analisi non è tanto la spiegazione completa ed esaustiva del testo, quanto più l'approfondimento degli aspetti da esso introdotti che sembrano essere più rilevanti in termini di cambiamento culturale e di impatto organizzativo.

Dal momento che la normativa risulta ancora in fase di evoluzione, è stato deciso inizialmente di variare l'approccio adottato in precedenti occasioni e di posticipare la formalizzazione di tale analisi in un apposito documento, in attesa del consolidamento definitivo della normativa europea. Fino ad allora, il gruppo di lavoro istituirà un osservatorio permanente volto a cogliere in maniera proattiva gli aggiornamenti provenienti da Bruxelles e fornire interessanti spunti di riflessione e supporto ai professionisti che desiderano iniziare ad approcciarsi a tale tematica.

Ciascuno degli aspetti ritenuti più significativi è analizzato in una specifica sezione, ed è affrontato con senso critico cercando di correlare l'approccio mantenuto nel Regolamento Europeo proposto con la corrente principale che stanno seguendo le norme, le best practices e gli standard di settore. In alcune sezioni sarà inoltre reso disponibile il download di un estratto dell'analisi finora svolta.

La presente analisi è basata sull'ultima versione del testo disponibile, così come è stata approvata dal Parlamento Europeo a Marzo 2014, e considera al contempo le raccomandazioni approvate dal Consiglio Europeo a dicembre 2014.

Osservatorio permanente

Il nuovo regolamento europeo sulla protezione dei dati personali è ancora in via di approvazione, non è ancora legge. Per questo, il lavoro che presentiamo in questo sito, nel marzo 2015, è parziale e si pone solo l'obiettivo di mettere a fuoco alcuni temi chiave del provvedimento che riteniamo importanti non solo per la tutela dei dati personali ma anche per la protezione di tutte le altre informazioni rilevanti che aziende affidano al web per i motivi più svariati.

I prossimi mesi saranno cruciali per l'approvazione del provvedimento e riteniamo che sia di grande utilità seguire il dibattito che accompagnerà l'iter istituzionale, rilevarne i temi fondamentali, aprendo, in merito, una discussione con le imprese e con gli operatori economici per contribuire a creare una cultura della tutela della informazioni ed una consapevolezza dei rischi che sono alla base dello sfruttamento efficace delle potenzialità della trasformazione digitale che sta avvenendo.

Per questa ragione AUSED, Clusit e la Oracle Community for Security hanno deciso di dare vita ad un osservatorio permanente sul Regolamento europeo che segua l'iter della normativa, apra un dibattito ampio in merito e provi anche ad interloquire con gli attori del processo legislativo, come al Security Summit discuteremo con Presidente dell'Autorità Garante On. Antonello Soro.

Sarà un ambito aperto al contributo di tutti coloro che sono interessati ad esprimere punti di vista ed opinioni a commentare e disponibile per chi, invece, vuole solo capire ed informarsi per ragioni professionali o personali.

Oggi lanciamo l'idea e invitiamo, chi fosse interessato, a farcelo sapere scrivendo una mail di adesione all'indirizzo c4s@clusit.it comunicando la propria adesione all'iniziativa ed il consenso al trattamento dei propri dati personali per le esigenze di gestione dell'osservatorio.

L'osservatorio sarà presentato in modo definitivo al Security Summit di Roma 2015.

Ruoli aziendali connessi alla protezione dei dati personali

Osservando la bozza di Regolamento è chiaro che il ruolo delle imprese è molto più attivo del previsto: se da un lato prevede semplificazioni per le imprese, in particolare per le PMI, riconoscendo ad esempio una maggiore flessibilità nella definizione dei processi per raggiungere l'obiettivo di un elevato livello di protezione dei dati personali, dall'altro introduce invece costi organizzativi, vincoli e procedure che complicano il ruolo di titolare del trattamento e la gestione della privacy.

Il Data Controller corrisponde al Titolare previsto dalla vigente normativa italiana (è la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che singolarmente o insieme ad altri determina le finalità, le condizioni e i mezzi del trattamento di dati personal)i. La portata degli obblighi previsti dal regolamento per il data controller, varia in funzione del tipo di compagnia (ente pubblico, privato, azienda grande, media, piccola, micro, professionista, chiesa o associazione religiosa…). Tale ruolo può essere condiviso con altri soggetti (Joint controllers) e in tal caso le rispettive responsabilità in merito al rispetto degli obblighi derivanti dal Regolamento devono essere regolamentate formalmente mediante un accordo interno.

Nello svolgimento della sua attività il Controller può avvalersi di uno o più Data Processors, identificati come la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del Controller. Il data processor è scelto dal Controller fra coloro che offrono garanzie sufficienti per mettere in atto misure e procedure tecniche e organizzative adeguate in modo tale che il trattamento sia conforme al Regolamento e assicuri la tutela dei diritti dell'interessato.

Uno stesso soggetto può essere contemporaneamente per trattamenti diversi o per parti di essi Controller, Processor o Controller's representative per conto di un altro Controller non stabilito nella UE e svolgere ulteriori trattamenti come Joint controller.

Non è prevista, invece, diversamente dalla normativa italiana vigente, la figura dell'incaricato.

Cambiano le attribuzioni di responsabilità. Ora anche i Data Processor hanno una responsabilità oggettiva e rispondono penalmente e civilmente in merito agli adempimenti previsti dalla normativa. Inoltre, nel caso in cui un Data Processor non rispetti le istruzioni ricevute dal Controller viene considerato alla stregua di questo per quanto attiene agli obblighi e responsabilità previsti dalla normativa. Viene regolamentata anche la possibilità di usufruire di sub Processor, nel caso in cui un Processor si avvalga a sua volta di altri fornitori. In tal caso deve essere preventivamente autorizzato dal Controller salvo diversi accordi fra le parti.

Data Protection Officer

In determinati casi previsti dal Regolamento il Data controller deve nominare, sulla base delle qualità professionali e della conoscenza approfondita della normativa sulla protezione dei dati e delle relative best practices, un Data Protection Officer (DPO).

Il Data Protection Officer occupa un ruolo chiave nella piramide degli attori coinvolti nella protezione dei dati personali. è opportunamente e tempestivamente coinvolto in tutte le problematiche correlate alla protezione dei dati personali e la sua missione consiste sostanzialmente nell'essere un punto di riferimento per i soggetti interessati, le Autorità di vigilanza esterne e le funzioni operative e di controllo interne, e fornire un adeguato presidio tramite l'indirizzamento, l'implementazione ed il monitoraggio delle attività necessarie a garantire la conformità ai requisiti normativi sulla protezione dei dati e correlate altre questioni relative alla data governance.

Il DPO ha quindi essenzialmente una funzione di governance interna, che deve sia comprendere la capacità operativa, a livello aziendale, di soddisfare i requisiti normativi mediante l'emissione di regolamenti interni, sia verificare i risultati e la capacità di reazione in caso di rilevazione di rischi o deficiencies.

Sarà quindi, in sintesi, responsabile di definire un modello organizzato per il trattamento dei dati personali, di supervisionarlo, monitorarlo e far si che i regolamenti siano rispettati.

La designazione a DPO non deve comportare incompatibilità o "conflitti di interesse" nei confronti di altri ruoli o compiti assegnati allo stesso soggetto, e deve avere un periodo minimo di 4 anni, in caso sia nominato un soggetto interno all'organizzazione, o di 2 anni, in caso di contrattualizzazione di un soggetto esterno, con possibilità di riconferma qualora persista il rispetto di tutte le condizioni necessarie per l'esecuzione dei compiti previsti.

Privacy Impact Assessment, gestione del rischio e misure di sicurezza

Come definito dal PIAF Consortium, si può definire un Privacy Impact Assessment (PIA) come una metodologia per valutare gli impatti sulla privacy di progetti, procedure, programmi, servizi, prodotti o altre iniziative, e per adottare, di concerto con i differenti stakeholders, adeguate azioni di remediation per evitare o minimizzare gli impatti negativi.

É quindi limitante identificare il PIA con il tool utilizzato a supporto dell'assessment, ma è logicamente più corretto considerarlo come un processo, che dovrebbe iniziare nelle fasi iniziali di ciascun progetto, quando è ancora possibile influenzarne l'esito, e continuare fino al completamento del progetto stesso ed anche in seguito.

Nel testo del Regolamento la PIA costituisce il primo passo della strategia di sicurezza che si sviluppa poi nell'analisi dei rischi connessi al trattamento e nelle misure di sicurezza a protezione del dato.

Più che disporre l'obbligo di alcune misure di sicurezza specifiche il regolamento si preoccupa di obbligare il Data Controller a porre in essere i processi organizzativi e tecnici necessari per individuare, ridurre e contrastare i rischi che incombono sui dati con le misure tecniche ed organizzative appropriate per lo specifico trattamento, valutate anche in funzione dei costi di attuazione.

Violazione dei dati personali

Le violazioni di dati personali (personal data breach) sono una particolare fattispecie di eventi di sicurezza che compromettono i dati personali dei soggetti interessati.

Il regolamento impone la comunicazione, senza ritardi immotivati, di tali violazioni all'autorità Garante competente e, qualora ne possano derivare dei danni agli interessati, anche a questi. Medesimo obbligo è posto in capo agli eventuali Data Processor nei confronti del Data controller.

La capacità di una compagnia di reagire a tali eventi in termini adeguati, comporta un intenso lavoro a priori organizzativo e di automazione dei processi: dalla capacità di rilevare gli eventi, alla capacità di valutarli in tempo utile fino alla capacità di gestirli in modo adeguato.

Il legislatore pone particolare enfasi sul fatto che le violazioni di dati personali possano comportare un danno per i soggetti interessati, e che il data controller ed i data processors siano ritenuti responsabili per tali danni. Di conseguenza quando una compagnia stima i danni conseguenti ad un eventuale evento di data breach, non deve considerare unicamente possibili multe o sanzioni, ma anche i danni subiti da clienti e dipendenti, che sono di gran lunga più rilevanti e dipendono ampiamente anche dal ritardo tra il momento in cui si verifica la violazione, il momento in cui viene rilevata e, infine, quando le opportune contromisure sono messe in atto.

Il fattore chiave che deve essere considerato, sia nella definizione delle procedure sia nella adozione di misure di sicurezza preventive per il trattamento di dati personali, è il danno potenziale cui sono esposti i soggetti interessati. Lo stesso fattore deve guidare le reazioni di una compagnia alla scoperta di una violazione di dati personali, in particolare in relazione alle tempistiche con cui tale incidente debba essere comunicato alle Autorità ed ai soggetti interessati.

Privacy by design & Privacy by default

Al giorno d'oggi i dati personali sono considerabili "il nuovo petrolio" perché rappresentano la fonte più interessante di guadagno non solo per le compagnie ma anche per le organizzazioni criminali e, di conseguenza, risulta prioritario e necessario che gli stessi siano adeguatamente protetti. In tale contesto, i concetti di "Privacy by design e Privacy by default" introdotti dalla Commissione Europea nell'ambito del nuovo framework per la protezione dei dati personali, devono essere considerati una soluzione obbligatoria.

Tali principi rappresentano l'evoluzione concettuale della privacy, dal momento che richiedono che la garanzia di un adeguato livello di privacy sia fondamentale sin dalla fase di design dei processi di business e delle applicazioni IT, in modo da includere tutti i requisiti di sicurezza necessari già nelle attività di progettazione e sviluppo (privacy by design), e da mettere in atto meccanismi volti ad assicurare che siano trattate "di default" (privacy di default) unicamente le informazioni personali strettamente necessarie per la particolare fattispecie di trattamento.

Finora, per assicurare un adeguato livello di protezione dei dati personali e la compliance alle normative di riferimento, sono generalmente applicati controlli e misure tecniche o organizzative ex post. Tali misure hanno però una portata limitata rispetto alla protezione delle informazioni per tutto il ciclo di vita delle stesse.

La privacy quindi deve essere garantita mediante misure proattive, e non solamente in reazione a violazioni o altri incidenti, e l'approccio migliore per raggiungere tale obiettivo richiede che le tematiche correlate alla privacy siano considerate sin dal principio, nella fase di design, così da rendere le necessarie misure di sicurezza più efficaci, semplici da implementare e apprezzate dagli utenti.

Con l'introduzione del concetto di "privacy by design" si passa quindi da un approccio basato sui controlli ad un approccio basato sul rischio e sui processi.

Approcci alle nuove disposizioni

Come dovrebbero I professionisti IT approcciarsi all'impegno a lungo termine delle Istituzioni Europee per rivedere la normativa correlata alla protezione dei dati personali?

É sensato iniziare a fare riferimento al Regolamento anche se ancora non è stato approvato e non è possibile prevedere con certezza cosa accadrà nell'immediato futuro?

La risposta a queste domande dipende strettamente dall'approccio che una compagnia assume nei confronti della trasformazione digitale che prende piede con un ritmo ogni anno sempre più incalzante.

Se una compagnia adotta una strategia difensiva verso il cambiamento, l'approccio più adatto sarà del tipo "attendi e osserva" con la posticipazione di tutto ciò che è possibile. Viceversa se una compagnia mira a ricavare il massimo dalle nuove frontiere della tecnologia, allora è meglio che inizi ad agire e mantenga un'alta soglia di attenzione verso ciò che potrebbe arrivare da Bruxelles.

Comprendere il cambiamento è una parte rilevante del business, ed è un punto chiave per investire al momento giusto, ottimizzando gli sforzi per conformarsi alle normative che stanno già prendendo forma, e per dare alle organizzazioni ed alle persone il tempo sufficiente per comprendere ed applicare i cambiamenti richiesti.

L'obiettivo non deve essere solo evitare multe rilevanti o ridurre il numero di cause legali da parte di clienti e dipendenti, ma di rimanere all'interno dei nuovi business che derivano dall'attuale trasformazione digitale. Certo che la rilevanza delle sanzioni previste che possono arrivare al 5% del fatturato globale di una compagnia non consente di trattare il tema con approssimazione.


Autori


Giulio Spreafico AIEA Consulente e Auditor di Sistemi Informativi
Francesca Gatti AUSED Coordinatrice del GdL Osservatorio Sicurezza e Compliance
Giancarlo Butti Banco Popolare Internal Auditor
Alessandro Cosenza bticino Head of IT Planning Quality Security Office (CISO)
Stefano Arduini Cedacri Responsabile Area Internal Auditing, Certificazioni
Mariangela Fagnani CLUSIT Direttivo Clusit; Security Advisor
Andrea Longhi ConsAL Consulente Direzionale
Andrea Castello CSQA Certificazioni Responsabile tecnico ISO 27001
Attilio Rampazzo CSQA Certificazioni IS Consultant & Auditor
Claudia Feleppa DB Consorzio Associate | Business Solutions Italy
Enrico Toso DB Consorzio IT Regulatory Risk Specialist
Vittorio Torre Deloitte Senior Security Consultant & GRC architect
Riccardo Abeti EXP Legal Founding Partner, specializzato in “Privacy e diritto delle nuove tecnologie
Enrico Ciabattini EY Senior IT Risk & Assurance Services
Antonello Cicchese EY Manager IT Risk & Assurance
Stephane Speich Gruppo bancario italiano IT Governance, Sicurezza e Livelli di Servizio
Domenico Cuoccio InnovaPuglia Responsabile Ufficio Qualità e Sicurezza dei Sistemi Informativi
Valerio Ghislandi KPMG Advisory Senior Consultant
Maurizio Pastore Liguria Digitale Security Officer
Wilmana Malatesta M&M Asset Security Consultant
Alessandro Vallega Oracle Security BDM; CD Clusit; Coordinatore Community for Security
Andrea Reghelin Partners4Innovation Senior Compliance Manager
Giampaolo Filiani Praecipua Avvocato
Luigi Pecorario Praecipua Avvocato
Michele Petronzi Praecipua Avvocato
Francesco Severi Present Security Consultant
Enrico Ferretti Protiviti Director
Carmela Piccirillo Protiviti Senior Consultant
Davide Giordano Reply - Spike Reply Roma Senior Security Consultant
Agostino Oliveri SICURDATA Data Protection Officer - Privacy Consultant & Auditor Certificated
Dominick Jerome Leiweke SILEDO GLOBAL Consultant & Junior Project Manager
Giovanni Battista Gallus Studio legale Array Avvocato, ISO 27001 Lead Auditor
Guglielmo Troiano Studio legale Array Avvocato
Franco Vigliano THE INNOVATION GROUP Associate Consultant
Mauro Alovisio Università di Torino Avvocato
Sergio Fumagalli Zeropiu Vice President
Orlando Arena Consulente
Biagio Lammoglia Privacy & IT Compliance Officer

Survey GDPR 2018: i risultati

GDPR: qual è il grado di maturità delle aziende italiane?

A questa domanda intende rispondere la survey condotta da Oracle Community for Security insieme a Protiviti, Clusit, AUSED ed Europrivacy nel periodo compreso tra marzo e giugno 2018 e rivolta a 239 aziende operanti per lo più nei settori dell’Information Technology, Manifatturiero, Bancario e Finanziario, Utilities, Servizi e Professioni.

Gli ambiti di indagine presi in esame hanno riguardato i principali adempimenti previsti dal GDPR, quali ad esempio la nomina del DPO, la revisione dei contratti con le terze parti o l’adozione di procedure per la notifica al Garante Privacy di eventuali data breach.

Ad ogni modo, la definitiva applicabilità del GDPR e la recente entrata in vigore del nuovo Codice Privacy impongono a tutte le organizzazioni di costruire e implementare piani di adeguamento che coprano tutti gli ambiti previsti dalla nuova normativa: la previsione di adeguati livelli di tutela dei dati personali può infatti diventare un’importante occasione per aumentare i propri vantaggi in termini di business, specie per le aziende che operano a stretto contatto con i consumatori.

Di seguito il link alla survey, con il dettaglio dell’indagine effettuata e i relativi risultati.

È possibile fare il download del documento dei risultati tramite questo link. (settembre 2018)


Per dimostrare il vostro apprezzamento, per darci un consiglio e/o per richiedere eventuali aggiornamenti dei nostri lavori potete contattarci scrivendo a c4s@clusit.it

Il documento, le appendici e gli allegati sono concessi in licenza Creative Commons 4.0 Italia, Attribuzione - Condividi allo stesso modo.

La licenza utilizzata permette a chiunque di usare il nostro prodotto anche per crearne una sua evoluzione a condizione che citi gli autori originali e utilizzi a sua volta lo stesso tipo di licenza. Autorizziamo la pubblicazione anche parziale di testo e immagini non già protette da altri copyright riportando la nostra url http://c4s.clusit.it.


Torna al sito c4s