1. INTRODUZIONE
2. COME E’ STRUTTURATO IL GDPR
3. A CHE COSA SI APPLICA IL GDPR: il ‘’Dato Personale’’

Il nuovo Regolamento privacy garantisce un nuovo quadro coerente di norme e un sistema complessivamente armonizzato in grado di superare la frammentazione creatasi in Europa con i diversi ordinamenti. Il Regolamento Europeo n. 679/2016 ha delle finalità principali dove non ostacolano lo sviluppo di un mercato unico digitale ma alla stessa maniera tutela e protegge i dati personali di tutti i cittadini europei.

Il nuovo quadro giuridico mira a garantire ai cittadini europei un maggior controllo sui loro dati, prevedendo l’applicabilità delle regole comunitarie quando il trattamento riguarda l’offerta di beni e servizi nella UE o nel caso implichi il controllo dei loro comportamenti (esempio la profilazione dei dati e l’analisi dei comportamenti).

Parecchie le novità per i titolari dei trattamenti dei dati personali: e la maggior parte di queste non sono adempimenti burocratici bensì adempimenti organizzativi, di processo, di metodologie tutte con lo scopo finale di adeguare le misure di sicurezza per quanto concerne i rischi derivanti dai diversi trattamenti delle diverse tipologie di dati personali.

1. INTRODUZIONE

Problema o opportunità?

Dal 25 maggio 2018 siamo obbligati al rispetto del GDPR; per le aziende potrebbe essere un problema oppure un’opportunità.

Per un’azienda potrà sembrare un problema se lo vivranno come l’ennesimo adempimento a cui adeguarsi, ma potrà diventare un’importante opportunità se le aziende coglieranno questa occasione per migliorare la sicurezza dei propri dati, non solo per il rispetto del GDPR, ma soprattutto per proteggere al meglio l’azienda e i propri dati.

Cominciamo a fare chiarezza con un po’ di storia sul Regolamento Europeo, di cui tanto si discute, ma che in pochi conoscono bene. Il GDPR (in inglese: ’’General Data Protection Regulation’’) è stato approvato dal Parlamento Europeo il 27 aprile 2016 e pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016.

Il titolo completo e ‘’ufficiale’’ del GDPR è

Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Il primo ed importante aspetto da sapere e conoscere è che si tratta di un Regolamento, quindi è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri. Non richiede – a differenza di una direttiva – una legge di recepimento nazionale. Al massimo ci potranno essere leggi per ‘’armonizzare’’ le precedenti normative nazionali al nuovo GDPR.

Per questo motivo si avrà una maggiore armonizzazione della normativa in materia privacy in tutto il territorio europeo.

Un altro aspetto molto importante: si applica integralmente alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione europea.

Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le regole fissate nell’UE!

Un esempio, di grande attualità: Facebook e Google che trattano in modo massiccio i nostri dati personali, dovranno farlo rispettando il GDPR, anche se sono società USA. Vale quindi il luogo dove si trova il dato, non dove risiede chi lo tratta.

2. COME E’ STRUTTURATO IL GDPR

Il GDPR è formato da 99 articoli, suddivisi in 11 capitoli, preceduti da 173 ‘’considerando’’. Vediamo di seguito come sono strutturati i capitoli.

CAPO I → Disposizioni generali (Artt. I-4)

CAPO II → Principi (Artt. 5-II)

CAPO III → Diritti dell’interessato ( Artt. 12-23)

CAPO IV → Titolare del trattamento e responsabile del trattamento (Artt. 24-43)

CAPO V → Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali ( Artt. 44-50)

CAPO VI → Autorità di controllo indipendenti (Artt. 51-59)

CAPO VII → Cooperazione e coerenza ( Artt. 60-76)

CAPO VIII → Mezzi di ricorso, responsabilità e sanzioni (Artt. 77-84)

CAPO IX → Disposizioni relative a specifiche situazioni di trattamento (Artt.85-91)

CAPO X → Atti delegati e atti di esecuzione (Artt. 92-93)

CAPO XI → Disposizioni finali (Artt.94-99)

1. A COSA SI APPLICA IL GDPR: il ‘’Dato Personale’’

Il GDPR si occupa, ai fini della privacy, del dato personale. Che cos’è? Viene definito all’art. 4 punto I:

Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile (‘’interessato’’); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Quindi il campo di applicazione sono le persone fisiche, non le aziende (o le persone giuridiche).

3.1 Cosa sono i nostri dati personali e dati particolari

Il Regolamento europeo ha ad oggetto solo il trattamento dei dati delle persone fisiche. Perciò il dato personale è qualsiasi informazione relativa ad una persona fisica identificata o identificabile (c.d. ‘’interessato’’). E’ identificabile una persona che può essere individuata, direttamente o indirettamente, con particolare riferimento ad un identificativo come: il nome, il codice fiscale, un numero di telefono (la SIM), un dato relativo all’ubicazione ecc. E’ chiara l’importanza di tale dato e la sua necessaria tutela.

3.2 Dati personali e dati particolari

     Alcuni dati personali sono più delicati di altri. Nel precedente Codice Privacy (196/2003) erano definiti ‘’dati sensibili’’. Il GDPR li chiama ‘’dati particolari’’ e li definisce all’art. 9 ‘’Trattamento di categorie particolari di dati personali’’:

‘’E’ vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, nonché trattare dati generici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.’’

3.3 Quali sono i ‘’Dati Personali’’ e ‘’Dati Particolari’’

Facciamo alcuni esempi.

4.0 Conclusioni

Definire il GDPR solo come il regolamento privacy è riduttivo ed è un errore di sottovalutazione. Se interpretato in modo corretto può contribuire alla creazione in azienda di un vero e proprio sistema di protezione dei dati, con benefici che vanno ben oltre alla difesa dei soli dati personali, ma in senso più completo, riguardano la sicurezza informatica dell’intera azienda.

Grazie al GDPR oggi si parla molto di più di sicurezza informatica, che non è un tema (o un problema) che riguarda solo l’IT manager. E’ qualcosa che attraversa trasversalmente l’intera organizzazione aziendale, perché tutti usano un computer in azienda.

L'articolo Privacy e GDPR proviene da .

Che cosa è il GDPR?

Il GDPR è la risposta dell’Unione Europea al ruolo enormemente esteso che la tecnologia riveste attualmente nella raccolta e gestione dei nostri dati (es. registrazioni a db aziendali, anagrafiche clienti e fornitori, …).

Garantisce che nel processo di raccolta di dati personali sia integrata un’adeguata protezione degli stessi.

A differenza della direttiva 95/46/EC, che è stata trasformata e riadattata in leggi nazionali, il GDPR è una regolamentazione che dovrà essere applicata da tutti gli stati membri (e quindi tutte le aziende che ne fanno parte) per unificare e aumentare la protezione dei dati personali di tutti i cittadini membri degli stati EU.

Il GDPR è stato ratificato nell’ Aprile 2016 e deve essere applicato dalle aziende entro il 25 Maggio 2018.

WIKIPEDIA: Il regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un Regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali all’interno dei confini dell’Unione europea (UE).

Il testo, pubblicato su Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018. Maggiore sicurezza per i dati utente

Perchè è importante?

• Criteri di sicurezza e privacy più rigorosi, obblighi aggiuntivi e sanzioni per mancata conformità.
• Maggior impegno per il raggiungimento della conformità.
• Maggiori rischi associati per la mancata conformità.

Articolo 84:

• Il GDPR avrà infatti impatti finanziari sulle aziende non conformi.
• Multe massime fino a €20 milioni o 4% del fatturato annuo.

Chi è coinvolto?

LE AZIENDE

Un mercato EU, una regolamentazione:
le aziende che trattano dati non devono preoccuparsi di essere compliant con le differenti leggi dei 28 paesi membri dell Unione Europea.
Stesse regole per tutte le aziende: non fa differenza la sede legale, la dimensione e la numerica dei dati trattati, se una azienda raccoglie dati di cittadini EU deve essere compliant con il GDPR.
Le aziende che elaborano dati sono tenute ad affidarsi ad un RESPONSABILE DELLA PROTEZIONE DEI DATI (incaricare, assumere, siglare contratto di consulenza).

Vediamo qualche articolo …

Articolo 4:
Le aziende devono garantire la conformità al GDPR in qualità di “titolari del trattamento” e/o “responsabili del trattamento”.
I titolari del trattamento sono le entità che determinano le finalità.
I responsabili del trattamento sono le entità che elaborano i dati personali.
I dati raccolti devono essere “processati” secondo operazioni che ne garantiscano prima di tutto la privacy e a maggior ragione la sicurezza.

Articolo 24:
Responsabilità del titolare/responsabile.
Il controller deve implementare misure tecniche ed organizzative atte a dimostrare che i processi di raccolta e messa in sicurezza dei dati sono attuati in conformità con il regolamento.

Articolo 25:
Data Protection by Design and By Default .
Il controller deve implementare misure tecniche ed organizzative per assicurare che solo i dati necessari alla finalità vengano raccolti. In particolare deve assicurare che i dati personali raccolti non siano accessibili se non alle persona interessate al trattamento. Obbligo di gestione degli eventi di data breaches o violazioni ( distruzione o diffusione indebita, ad esempio a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità).

Articolo 33:
es. comunicazione entro 72h (dal rilevamento) al garante.

Articolo 34:
es. comunicazione all’ interessato in caso la violazione comporti un rischio elevato (numeri carta di credito)

…GDPR & Network Security

L’articolo 32 afferma:

“L’addetto al controllo dei dati o chi segue il processo dovrebbe tenere in considerazione lo stato dell’arte per implementare misure tecniche e organizzative appropriate per assicurare un livello di sicurezza appropriato al rischio.”

“Nel valutare l’adeguato livello di sicurezza si tenga conto in particolare dei rischi che vengono presentati dall’elaborazione, in particolare dalla distruzione accidentale o illegale, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso ai dati personali trasmessi, conservati o altrimenti trattati”.

GDPR: steps per essere compliance

• Information Security
• Secure Architecture
• Authentication
• Virtual Patching
• Prevention
• Detection
• Cryptography
• Failover
• Automation
• Control & Visibility

SEGMENTAZIONE DELLA RETE E AUTORIZZAZIONE ALL’ACCESSO

– Configurazioni sicure dei dispositivi di rete (router, firewall, switch e ap)
– Differenziazione dei privilegi amministrativi
– Difesa perimetrale e gestione dei segmenti  di sicurezza interni di rete
– Limitazione e controllo di porte, protocolli e servizi di rete
– Gestione dei dispositivi autorizzati e non autorizzati (BYOD)
– Controllo wireless degli accessi (uffici (802.1X), ospiti)
– Monitoraggio e controllo degli account utente

PROTEZIONE ATTIVA DELLA RETE

– Analisi del traffico di rete (Deep Packet Inspection)
– Valutazione e correzioni continue delle vulnerabilità (patch)
– Protezione per e-mail e navigazione web
– Protezione contro virus e malware
– Blocco del traffico anomalo (Inbound/Outbound)
– Controllo dei software su device mobili, laptop, desktop (client)
– Controllo del software lato server
– Protezione e crittografia dei dati
– Alta affidabilità dei device critici

AUTOMAZIONE, MONITORAGGIO e ANALISI

– Automazione dei processi e delle policy
– Monitoraggio hardware/traffico e analisi/report dei data breach

…GDPR & Ransomware

L’articolo 4.12 afferma:

“Per violazione di dati personali si intende una violazione della sicurezza che porta alla distruzione, alla perdita, all’alterazione accidentale o illegale, alla divulgazione non autorizzata o all’accesso a dati personali trasmessi, memorizzati o altrimenti trattati”.

L’articolo 32 aggiunge:

“Nel valutare l’adeguato livello di sicurezza si tenga conto in particolare dei rischi che vengono presentati dall’elaborazione, in particolare dalla distruzione accidentale o illegale, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso ai dati personali trasmessi, conservati o altrimenti trattati”.

WannaCry è un esempio concreto…

In che modo le aziende sono state colpite da WannaCry?

Fallendo nel non patchare una vulnerabilità Windows SMB (CVE-‎2017-0144).

Questo ha permesso agli attaccanti di liberare un file ransomware nei sistemi infettati e  crittografare i file con 176 diverse estensioni, inclusi quelli utilizzati da Microsoft Office, database, file archivio, file multimediali e diversi linguaggi di programmazione.
Ovviamente, tra questi file ci potevano essere anche quelli dei clienti che devono essere regolati dal GDPR.

E’ quindi fondamentale mantenere tutti i sistemi operativi (client/server) aggiornati e pianificare i backup (su unità esterne/cloud).

In questo caso i dati dei clienti sono stati senza ombra di dubbio oggetto di un accesso illegale e in seguito persi o distrutti dopo essere stati crittografati da WannaCry.

Il trattamento non autorizzato o “illegale” dei dati, la violazione di dati personali (nonostante nessun dato sia stato rubato), sono tutti elementi che possono far incorrere l’ azienda che ha subito l’ attacco (e non ha apportato le necessarie misure di sicurezza) in sanzioni.

L'articolo GDPR – Regolamento generale sulla protezione dei dati – Multe fino a 20 milioni di Euro proviene da .