GDPR - Quali sono le misure adeguate per la protezione dei dati

1. GDPR – Quali sono le
misure adeguate per la
Protezione dei Dati
Relatore Davide Erriquez

2. Benvenuti
Davide Erriquez
Consulente Informatico
Esperto di Sicurezza e GDPR
2
Consulenza informatica
Adeguamento GDPR
Servizio di DPO
Formazione

3. GDPR – Quali sono le misure adeguate per
la Protezione dei dati
QUALI
RISCHI?
Per i Dati Personali
Per il Titolare
QUALI
FONTI?
Fattore Umano
Fonti «esterne»
QUALI
MISURE?
Software
Hardware
3

4. La sicurezza informatica costituisce la principale
minaccia per i Dati Personali

5. Tenendo conto dello stato dell'arte e dei costi di
attuazione, nonché della natura, dell'oggetto,
del contesto e delle finalità del trattamento,
come anche del rischio di varia probabilità e
gravità per i diritti e le libertà delle persone
fisiche, il titolare del trattamento e il responsabile
del trattamento mettono in atto misure tecniche e
organizzative adeguate per garantire un livello di
sicurezza adeguato al rischio, che comprendono,
tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura
dei dati personali;
b) la capacità di assicurare su base
permanente la riservatezza,
l'integrità, la disponibilità e la
resilienza dei sistemi e dei servizi di
trattamento;
c) la capacità di ripristinare
tempestivamente la disponibilità e
l'accesso dei dati personali in caso di
incidente fisico o tecnico;
d) una procedura per testare, verificare e
valutare regolarmente l'efficacia delle
misure tecniche e organizzative al fine
di garantire la sicurezza del
trattamento.
GDPR – Art. 32 – Sicurezza
del trattamento
5

6. GARANZIE PER
IL DATO PERSONALE
DISPONIBILITÀ INTEGRITÀ RISERVATEZZA
6

7. In caso di violazione dei dati personali, il titolare
del trattamento notifica la violazione all'autorità di
controllo competente … e, ove possibile, entro 72
ore dal momento in cui ne è venuto a
conoscenza, a meno che sia improbabile che la
violazione dei dati personali presenti un rischio
per i diritti e le libertà delle persone fisiche.
a) Violazione di Riservatezza
quando si verifica una divulgazione o
un accesso a dati personali non
autorizzato o accidentale
b) Violazione di Integrità
quando si verifica un’alterazione di dati
personali non autorizzata o
accidentale
c) Violazione di Disponibilità
quando si verifica la perdita,
inaccessibilità o distruzione,
accidentale o non autorizzata, di dati
personali
GDPR – Art. 33 – Data Breach
7

8. GDPR – Sanzioni (Art. 83)
L’art. 83 stabilisce le condizioni per
applicare la sanzione che devono
essere:
- Effettive
- Proporzionate
- Dissuasive
8

9. GDPR – Sanzioni (Art. 83)
Saranno inflitte in base
✓ Alla Natura, gravità e durata della violazione
✓ Al carattere doloso o colposo della violazione
✓ Alle misure adottate dal titolare
✓ Al grado di responsabilità
✓ Eventuali precedenti violazioni
✓ Al grado di cooperazione con l’autorità
✓ A come l’autorità di controllo è venuta a conoscenza della violazione
✓ Alle categorie di dati personali interessati
✓ Eventuali fattori aggravanti o attenuanti
9

10. Per l’Azienda oltre il danno… la beffa!
DANNO
Ogni danno informatico causa
all’Azienda una perdita di:
- Tempo
- Lavoro
- Denaro
- Reputazione
- Immagine
10
SANZIONE (BEFFA)
Se la sanzione fosse stata
comminata a seguito della denuncia
di un interessato, oltre alla sanzione
potrebbe essere previsto il
risarcimento del danno

11. GDPR – Quali misure adeguate
Analisi
Tipologia di
Rischio
Calcolo del
Rischio
Analisi
Fonti di Rischio
Misure di
Sicurezza
Verifiche
Periodiche
11

12. Se conosci il nemico e
te stesso,
la tua vittoria è sicura.
Quale Tipologia di
Dati Personali?
✓ Dati Comuni
✓ Dati Particolari / Sensibili
Livello utenti?
✓ Base
✓ Medio
✓ Avanzato
✓ Esperto
Dove risiedono i
dati?
✓ intranet
✓ internet
✓ mail
✓ cloud
Quali Tipologie e
Fonti di Rischio
Da dove iniziare?
12

13. QUALI TIPOLOGIE DI RISCHIO PER
IL DATO PERSONALE?
PERDITA
DATI
FURTO
DATI
IDENTITÀ
DIFFUSIONE
DATI
13

14. QUALI FONTI DI RISCHIO PER
IL DATO PERSONALE?
ESTERNE
web e mail
INTERNE
utenti
ACCIDENTALI
Eventi naturali o
incidenti
14

15. ALCUNI ESEMPI
Rottura hardware o
compromissione software
o del dato a causa di
utenti o «virus»
Banche Dati, mail, dati di
carte di credito, info
bancarie, password.
Furto dell’identità
Divulgazione a terzi per
errore o furto e ricatto per
la non divulgazione
15

16. 16
Fonte Assintel

17. … il titolare del trattamento effettua, prima di
procedere al trattamento, una valutazione
dell'impatto dei trattamenti previsti sulla
protezione dei dati personali (DPIA)
GDPR – Art. 35 –
Valutazione d'impatto sulla
protezione dei dati
17

18. La privacy non è un costo ma un investimento

19. Misure di Sicurezza a quale scopo?
PROTEZIONE
Proteggere il dato in uso tramite:
- Password adeguata
- Antivirus
- Firewall
- Policy accesso
- Update policy
19
PREVENZIONE
Prevenire danni tramite l’uso:
- Hardware adeguato
- Hardware di backup
- Software aggiornato
- Backup consolidato
- Cifratura del dato

20. Hardware e Software adeguati e aggiornati
Firewall a protezione della rete informatica
Software antivirus a protezione del server e dei singoli client
Password Policy per dispositivi e contenuti
Procedura di Backup consolidato
Cifratura o pseudonomizzazione dei dati
Procedura di Disaster Recovery
Update Policy - software, app e sistemi operativi
Supporto da tecnici specializzati
Formazione del personale
Quali misure di sicurezza?
20

21. Regola «3-2-1»
3 - Versioni
2 - Posizioni
1 - Offline

22. PC
Ogni computer oggi è connesso
a Internet e contiene Dati
Personali
La fonte maggiore di rischio
sono le e-mail
22

23. Mobile
Ogni smarphone oggi è
connesso a Internet e contiene
Dati Personali
La fonte maggiore di rischio
sono gli SMS
23

24. Il GDPR è un’opportunità

25. CI SONO DOMANDE ?
Davide Erriquez
346 3136983
info@sinetics.it
www.sinetics.it
25
Grazie