Sei sulla pagina 1di 14

Il GDPR – Un anno dopo…

BrightTalk Webinar Series – 22 Maggio 2019

Giampiero Nanni - Government Affairs, EMEA


Ramses Gallego - Strategist & Evangelist, Office of the CTO
Le organizzazioni sono davvero pronte?
Cosa è migliorato:
• Nuovo atteggiamento sulla governance dei dati, a tutti i livelli organizzativi
• Nuovi piani, policy, procedure, documentazione
• Nuovi ruoli, strutture interne, linee di riporto, collaborazioni
• Nuovi investimenti in servizi, formazione, tecnologia
• Nuova attenzione ad accountability, compliance,
documentazione, dimostrabilità
• Nuova considerazione per i diritti dei soggetti interessati
Difficoltà persistenti:
• Realizzazione e accettazione del fatto che l’enfasi è sugli esiti
• Traduzione delle necessità legislative in decisioni tecnologiche
• L’interpretazione del Regolamento e alcune line guida in conflitto tra di loro
• Necessità di conformità concorrenti (settoriali o nazionali)
Stato di attuazione
• Le autorità di controllo hanno migliorato le loro capacità (struttura, forza
lavoro, processi, tecnologia)
• Decine di migliaia di notifiche nei 28 Stati Membri (in Italia in numero molto
minore in proporzione)
• Garante: Categoria più numerosa di notifiche:
• “Negligenza: Articolo 32”
• Dilemma:
• Notificare-perché-non- si-sa-mai
Oppure…
• Non-notificare-tanto-chi viene-a-saperlo
• Inchieste sono state effettuate, compreso sulle pendenze pre-GDPR, e
continueranno ad esserlo (anche senza data breach)
• Sanzioni sono state comminate – alcune pesanti (Google – CNIL in Francia)
Sondaggio n.1 (Anonimo)
La vostra organizzazione ha effettuato notifiche all’autorità di controllo?
1. Sì
2. No
3. Non so

4
Gestire la complessità del trattamento dati personali
Alcune delle complessità a volte inesplorate del GDPR :
• Realizzazione della vastità dei dati personali coinvolti
• Gestione dei flussi di dati rispetto alle esigenze aziendali
• Gestione del ciclo di vita dell’informazione
• Bilanciamento tra privacy e sicurezza
• Protezione dei soggetti interessati: clienti, dipendenti, fornitori
• La compliance della supply chain - Accountability
• Richieste dei soggetti interessati – Quantità/qualità/complessità
• I nuovi data set da gestire: metadati, dati nel Cloud, apps nel Cloud, Shadow
IT/Shadow data, dati personali ‘nascosti’ (“identificano in modo indiretto”)
Quali le differenze tra On-premise & Cloud?
Nessuna in termini di requisiti di compliance e sicurezza del GDPR

Condivisione
Documenti nel Cloud sono ampiamente
13% condivisi (*)

Shadow IT

+ 1500 Cloud Apps in media in Enterprise

Shadow Data
Organizzazioni hanno più dati nel Cloud
1 su 3 che on-premise

Appropriazione degli account


Data Breach che sfruttano password
81% trafugate o deboli
(*) 2018 Shadow Data Report
Shadow IT – Impatto su compliance GDPR
• (Articolo 5) Limitazione delle finalità e della • (Articolo 30) Registri trattamento
conservazione, integrità e riservatezza • (Articolo 32) Sicurezza del Trattamento
• (Articoli 12-14) Traspareza e informazioni ai • (Articoli 32-33) Rilevazione e notifica di
soggetti interessati violazione
• (Articoli 15-22) Esercizio dei diritti dei soggetti • (Articoli 35-36) Valutazione d’impatto e
interessati Consultazione preventiva
• (Articolo 25) Privacy By Design and By Default • (Capo V) Trasferimenti internazionali
• (Articolo 26) Rischi per contitolari del • (Articolo 82) Diritto al risarcimento e
trattamento responsabilità
• (Articolo 28) Obblighi del responsabile del • (Articoli 5, 24) Accountability
trattamento
• (Articolo 83) Sanzioni
• (Articolo 29) Relazione titolare-responsabile

7
Sondaggio n.2 (Anonimo)

Avete identificato, o sospettate, una situazione di Shadow IT nella vostra organizzazione?


1. Sì
2. No
3. Non so

8
Quali sono i punti dolenti del GDPR per il tecnologo?
• Identificazione dell’ubicazione dei dati - Confini ambigui
• Rischio di violazione di sicurezza:
o Aumento della superfice di attacco e delle vulnerabilità
o La minaccia interna – Dolosa o meno
• Gestione del Cloud
o Moltitudine di fornitori e piattaforme
o Gli upload e download dei dataset
o Shadow IT e Shadow Data: Rischio compliance
• Perdita di disponibilità (p.e. a causa di ransomware)
Considerazioni di compliance GDPR
E come si traducono in soluzioni cyber
Possiamo determinare il profilo del rischio ?
Risk Management
Quali sono le aree critiche su cui concentrarsi in risposta al GDPR?
Compliance Assessments
Come gestisco e metto in relazione le informazioni a rischio?

Information Centric
Possiamo controllare quali dati personali sono accessibili? Security
E chi può accedervi ? DLP
CASB
Possiamo controllare dove risiedono i dati personali?
Authentication
Possiamo criptare/offuscare i dati personali ? Encryption
Tokenisation
Possiamo individuare accessi non autorizzati o violazioni di dati personali ? Breach Response
Possiamo velocemente e accuratamente notificare una violazione o perdita? Managed Security and
Incident Response Services
Possiamo continuamente valutare l’effettivo livello di sicurezza ?
Security Analytics
C’è sufficiente guida sugli aspetti più complessi ?
• Come ogni legislazione anche il GDPR è soggetto ad
interpretazioni
• Ci sono guide pubblicate dalle autorità di controllo, sia a livello
nazionale che UE - European Data Protection Board (EDPB):
guidance/consultation material
• Ma ambiguità e contraddizioni possono persistere
• Essere aggiornati sulle pubblicazioni delle autorità
• Fanno testo, specialmente nel caso di un’inchiesta
Sondaggio n.3 (Anonimo)
Quali altre aree del GDPR considerate punti deboli o dolenti in prospettiva
compliance?

1. Gestione dei reclami


2. Shadow IT
3. Record Management
4. Breach notification
5. Privacy del dipendente
6. Cloud management

12
Il GDPR un anno dopo…
Sommario

• Il GDPR e un modello di riferimento per altre


legislazioni nel mondo.
• Enormi progressi nella data governance delle
organizzazioni
• L’attuazione è in corso, no condoni
• La conformità totale non esiste – Tutto, e in
particolare la security, va rivisitato costantemente
• La continua trasformazione digitale crea ulteriori
pressioni in termini di compliance sui ruoli tecnologici
• Gestire il rischio secondo la propria situazione unica:
Privacy → Security

13
Il GDPR – Un anno dopo…
BrightTalk Webinar Series – 22 Maggio 2019

Giampiero Nanni - CIPP/E, CIPM


Government Affairs, EMEA
giampiero_nanni@symantec.com
+44 7808248100
@Giampieronanni

Ramsés Gallego
CISM, CGEIT, CISSP, SCPM, CCSK, ITIL, COBIT, Six Sigma Certified
Strategist & Evangelist, Office of the CTO, Symantec
+34 678 444 783