Data protection e "sicurezza informatica"

●
Protezione dei dati in relazione al GDPR n. 679/2016
●
Analisi dei dati
●
Rischi informatici
●
Contromisure di sicurezza
●
Cyberwarfare
●
Uno sguardo al futuro (5G, IoT)
Regolamento UE 679/2016

Il 25 maggio 2018 è divenuto applicativo anche in Italia il Reg. (UE) 679/2016[1]

ossia il Regolamento Generale sulla Protezione dei Dati (di seguito denominato
anche GDPR, acronimo derivante dalla denominazione inglese General Data
Protection Regulation)
innovazione più importante degli ultimi anni in materia di Privacy
non introduce particolari cambiamenti tuttavia presenta due caratteristiche che
creano notevoli difficoltà applicative:
●
prescrizioni più stringenti per effetto di meccanismi che richiedono la
ridefinizione delle procedure interne e la riformulazione dei rapporti con
dipendenti, collaboratori, fornitori, clienti o utenti
●
impone il cambiamento all’approccio sulla gestione dell’informazione,
costringendo ad un monitoraggio costante delle misure di sicurezza tecnologiche
ed organizzative

2
Cultura informatica

Per la seconda volta (196/03) si osserva l’informatica sotto il

punto di vista della sicurezza!
La 196 dettava delle regole precise (misure minime) e già
provava a dirci che esisteva l’informatica e poteva portare a dei
rischi sui dati
Il GDPR introduce una vera e propria “cultura della sicurezza
informatica” e non obbliga a fare ma a ripensare metodi,
procedure e sicurezze.

3
TCL – parte della nostra vita

La UE ammette che la tecnologia costituisce una parte consistente

dell’esperienza contemporanea di ciascuno di noi! Non ne possiamo
prescindere!
“Rapidamente l'economia globale diventa digitale: le tecnologie
dell'informazione e della comunicazione (TLC) non costituiscono più
un settore a sé stante, bensì il fondamento medesimo di tutti i sistemi
economici innovativi moderni. Via via che ne aumenta l'integrazione
in tutti i settori della nostra economia e società, internet e le
tecnologie digitali ci trasformano la vita, ci trasformano il modo di
lavorare, nella sfera tanto personale quanto professionale e collettiva.
Rif. https://eur-lex.europa.eu/legal-content/IT/ALL/?uri=celex:52015DC0192

4
Norme obsolete o lente nell’adeguarsi!

Le normative e la giurisprudenza non sono adeguate alla tecnologia

attuale e alla velocità con cui si evolvono. Sempre Nuove tecnologie
(social networks, cloud computing, IoT, blockchain...) rendono
rapidamente obsolete le previgenti norme o ne rendono problematica la
loro l’applicazione;
Necessario incorporare il rispetto del diritto nelle piattaforme
tecnologiche e nei processi organizzativi in modo che le attività
produttive (la fornitura di beni e servizi o di prestazioni professionali) si
adeguino nel rispeto del trattamento dei dati personali.
GDPR vuole creare l’infrastruttura normativa, il sistema di controllo
informatico-giuridico, di tutte le interazioni con l’ecosistema sociale e
social.

5
Legge Privacy 196/03?

La vecchia normativa, non viene abrogata in toto, ma aggiornata

ed integrata.
Dal punto di vista informatico (ICT) (il resto lo avete visto in
separato corso) il maggior cambiamento è:
●
Abrogazione del concetto di MISURE MINIME
●
Introduzione del concetto di MISURE ADEGUATE

6
GDPR il vero cambiamento

La vera rivoluzione è l’introduzione del nuovo principio di

“ACCOUNTABILITY” (Responsabilizzazione)

Attribuisce più discrezionalità ma, al tempo stesso, maggiore

responsabilità al “Titolare del Trattamento” su tutto quello che
concerne la protezione dati con un inasprimento consistente delle
sanzioni previste in caso di inadempienza.

Se è vero che viene lasciato più spazio alla discrezionalità ma il Titolare

ed il Responsabile del Trattamento hanno il preciso dovere di
dimostrare le ragioni che hanno determinato le scelte fatte.

7
Azioni strutturate

Analizzare il proprio business

Applicare le sicurezze in conformità delle normative
Dimostrare ciò che è stato pensato e fatto per essere conformi
Monitorare, gestire, proteggere aggiornare i sistemi di protezione
nel tempo, in relazione ai dati, ai trattamenti all’evoluzione
tecnologica

8
Aree di intervento del GDPR

●
Organizzazione e ruoli
●
HR, competenze
●
Processi e regole
●
Documentazione
●
Strumenti e tecnologia
●
Sistema di controllo

Dico sempre che in fin dei conti è una legge che può aiutare ad
organizzare I propri processi e le persone. Cerchiamo di farla nostra!

9
Mappare I propri trattamenti

Ogni progetto deve essere sempre analizzato anche ai fini della

redditività, giusto?
Occorre un project manager, un business plan, una roadmap su ogni
aspetto…

.. ecco anche per la gestione della privacy!

Analisi del progetto e roadmap
Mappatura e valutazione dei rischi
Monitoraggio, interventi in caso di violazioni (data breach)
Notifica e risoluzione

10
Testo del GDPR

Omettiamo la parte delle definizioni che è stato o sarà oggetto di

altra lezione ed occupiamoci della parte strettamente legata
all’informatica

Il testo integrale lo trovate sul sito del garante della privacy

https://www.garanteprivacy.it/il-testo-del-regolamento

11
Registri delle attività di trattamento

1. Ogni titolare del trattamento e, ove applicabile, il suo

rappresentante tengono un registro delle attività di trattamento
svolte sotto la propria responsabilità. Tale registro contiene tutte le
seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove
applicabile, del contitolare del trattamento, del rappresentante del
titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di
dati personali;

12
d) le categorie di destinatari a cui i dati personali sono stati o saranno
comunicati, compresi i destinatari di paesi terzi od organizzazioni
internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o
un'organizzazione internazionale, compresa l'identificazione del paese
terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al
secondo comma dell'articolo 49, la documentazione delle garanzie
adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse
categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza
tecniche e organizzative di cui all'articolo 32, paragrafo 1.

13
Sicurezza del trattamento Art. 32

1. Tenendo conto dello stato dell'arte e dei costi di attuazione,

nonché della natura, dell'oggetto, del contesto e delle finalità del
trattamento, come anche del rischio di varia probabilità e gravità
per i diritti e le libertà delle persone fisiche, il titolare del
trattamento e il responsabile del trattamento mettono in atto
misure tecniche e organizzative adeguate per garantire un livello
di sicurezza adeguato al rischio, che comprendono, tra le altre,
se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;

14
b) la capacità di assicurare su base permanente la riservatezza,
l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi
di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e
l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente
l'efficacia delle misure tecniche e organizzative al fine di
garantire la sicurezza del trattamento.

15
2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in
special modo dei rischi presentati dal trattamento che derivano
in particolare dalla distruzione, dalla perdita, dalla modifica,
dalla divulgazione non autorizzata o dall'accesso, in modo
accidentale o illegale, a dati personali trasmessi, conservati o
comunque trattati.

16
4. Il titolare del trattamento e il responsabile del trattamento
fanno sì che chiunque agisca sotto la loro autorità e abbia
accesso a dati personali non tratti tali dati se non è istruito in tal
senso dal titolare del trattamento, salvo che lo richieda il diritto
dell'Unione o degli Stati membri.

17
Privacy By Design e By default

By design:
●
Prevenire è meglio che curare (progettare)
●
Tutti I trattamenti sono rischiosi a prescindere
●
La protezione dei dati personali deve essere un obiettivo di qualsiasi progetto che
tratti dati

By Default
●
Se succede qualcosa, devi dimostrare di aver fatto tutto il possibile per evitarlo
●
Trattare, fin dall’inizio, solo I dati strattamente necessari, per le sole finalità previste
e per il periodo di tempo strettamente necessario al completamento dell’attività
●
Formazione, documentazione, relazione

18
Formazione

Più volte viene richiamata all’interno del codice in maniera

implicita
Nessuno può accedere ai dati se non è istruito dal titolare
La formazione deve essere preventiva all’iniziao del trattamento
Il progetto deve prevedere un piano formativo iniziale e gli
aggiornamenti nel tempo

19
I rischi informatici e la cybersecurity

Da cosa devo preoccuparmi?

Da dove parto per proteggermi?
La vecchia normativa forniva un elenco (allegato B “disciplinare tecnico”,
che poi è sembrato “banale”...ma.. io partirei da lì! Regolava:
●
Sistema di autenticazione informatica e autorizzazione
●
rischio di intrusione e dell'azione di programmi di cui all'art. 615-
quinquies del codice penale,
●
aggiornamenti periodici dei programmi
●
Istruzioni organizzative e tecniche
●
backup

20
Non era poi così “vecchia”, vero?

Sembra tutto tremendamente attuale.

Scegliere e gestire le password
Fare Backup
Proteggersi da virus, malware e hacker!
… Ma come e da cosa…

Non ci dice come, ci lascia liberi.. ma va scritto!

21
Cosa proteggere

●
Computer e device
●
Rete
●
Cloud
●
Connettività
●
Connessioni
●
Altri dispositivi (iot)

●
Analizzare e mappare

22
Da cosa proteggersi

Intrusioni (bug e falle)

Malware (virus/trojan)
Phishing
Altri attacchi specifici
●
Buffer overflow; DoS;
●
Hacking;
●
Ingegneria sociale; (sfutto la tua buona fede social)
●
Keylogging;
●
Backdoor;
●
Spoofing; (falsificazione identità)
●
Social Network Poisoning; (furti di identità sui social che diffondo finte notizie per far crollare la
catena della fiducia)
●
Spyware (raccogli informazione)

23
cyberwarfare

La guerra cibernetica si sposta sul cloud! Il 5° dominio dopo

mare,terra, aria.. internet!
l'insieme delle attività di preparazione e conduzione di
operazioni di contrasto nello spazio cibernetico. Si può tradurre
nell'intercettazione, nell'alterazione e nella distruzione
dell'informazione e dei sistemi di comunicazione nemici,
procedendo a far sì che sul proprio fronte si mantenga un
relativo equilibrio dell'informazione. Tale guerra si caratterizza
per l'uso di tecnologie elettroniche, informatiche e dei sistemi di
telecomunicazione.

24
Chi sono gli attori

Cyberterroristi – utilizzano la rete per compiere reati

Spionaggio (industriale e politico)

Sistemi di controllo (SCADA) di infrastutture vitali di uno stato

(Acqua, energia, Telecomunicazioni, trasporti, finanza)

25
Hacker

Facile racchiudere tutto inuna parola… anzi curioso…

Richard Stallman spiega chi sono gli hacker che programmano:

«Ciò che avevano in comune era principalmente l'amore per
l'eccellenza e la programmazione. Volevano che i programmi che
sviluppavano fossero il meglio. Volevano anche farli fare cose
perfette. Volevano essere in grado di fare qualcosa in un modo
più eccitante di quanto chiunque credesse possibile e mostrare
"Guarda com'è meraviglioso. Scommetto che non credevi che
questo potesse essere fatto".»

26
5G e iOT

La nuova frontiere del cyberterrorismo.. ma anche della security-

defense si svolge su un terreno totalmente nuovo con l’avvento
massivo del 5G e dei dispositivi iOT

Tutto sarà connesso e molti piu dispositivi necessiteranno di

essere “protetti” …

… la nuova sfida è gia partita, sta a noi non restare indietro e

diminuire il digital-divide che attualente ci relega al 25° posto in
europa su..
27
Indice DESI

Appena uscito l’indice complessivo di digitalizzazione, DESI,

valutando la diffusione della banda larga, le competenze digitali
e le attività online (e-commerce e e-banking) ci pone al
quartult’imo posto su 28 stati!

https://ec.europa.eu/commission/presscorner/detail/en/MEMO_
16_385

Occorre maggior formazione, indipendenza da strumenti esterni

(google, microsoft) ed investimenti in competenze interne.
28
fine

Si ringrazia dell’attenzione

Domande, dubbi e quesiti….direttamente sulla piattaforma di e-

learning.

Rag. Alessandro Scapuzzi

29