LA NORMATIVA A SUPPORTO TRA REGOLAMENTAZIONE E RESPONSABILITA' - AVV. MARCO ZECHINI STUDIO LEGALE ORRICK, HERRINGTON & SUTCLIFFE (EUROPE) LLP ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
LA NORMATIVA A SUPPORTO TRA REGOLAMENTAZIONE E
RESPONSABILITA’
AVV. MARCO ZECHINI
STUDIO LEGALE ORRICK, HERRINGTON & SUTCLIFFE (EUROPE) LLPIndice Data Privacy: il Regolamento 2016/679/UE: novità di maggior rilievo Slide n. 3 Cybersecurity: la Direttiva 2016/1148/UE Slide n. 12 La Cybersecurity in Italia: perché le PMI devono difendersi? Il ruolo del top management e l’Italian Cyber Security Report 2016 Slide n. 15
DATA PRIVACY IL REGOLAMENTO 2016/679/UE: NOVITÀ DI MAGGIOR RILIEVO
IL REGOLAMENTO 2016/679/UE: NOVITÀ DI MAGGIOR RILIEVO
- ARMONIZZAZIONE -
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla
protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di
tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (di seguito, il
"Regolamento 679").
Il Regolamento 679 insieme alla Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile
2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle
autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di
sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del
Consiglio, costituiscono il c.d. "Pacchetto europeo protezione dati".
Il Regolamento 679 è entrato ufficialmente in vigore il 24 maggio 2016 e verrà applicato in via diretta in tutti gli
Stati Membri dal 25 maggio 2018 con conseguente disapplicazione di tutte le norme nazionali che fossero in
contrasto con lo stesso.
Armonizzazione:
introduzione del c.d. uniformità delle leggi sulla
meccanismo del "one stop protezione dei dati in tutta
shop" (sportello unico) l’UEIL REGOLAMENTO 2016/679/UE: NOVITÀ DI MAGGIOR RILIEVO
- IL MECCANISMO "ONE STOP SHOP" : CHE COSA È? -
Il titolare del trattamento dei dati
ricorre all’Autorità Garante per la
protezione dei dati personali del
proprio paese quale unico
interlocutore per tutta la UE
Che cosa si intende per "one stop shop"?
5IL REGOLAMENTO 2016/679/UE: NOVITÀ DI MAGGIOR RILIEVO
- IL MECCANISMO "ONE STOP SHOP" : ALCUNE PILLOLE -
Il meccanismo "one stop shop" rappresenta una delle più significative novità
previste dal Regolamento 679.
Tale meccanismo semplifica la gestione dei trattamenti e assicura un
approccio uniforme in tutto il territorio dell'Unione Europea.
Le imprese stabilite in diversi paesi della UE o che offrono beni e servizi nei vari
Stati Membri possono rivolgersi all’Autorità Garante per la protezione dei dati
personali del paese in cui hanno la sede principale qualora debbano risolvere
questioni inerenti l'applicazione e il rispetto del Regolamento 679.
Per garantire un’applicazione coerente del Regolamento 679 in tutta la UE, è
stato previsto un meccanismo di coerenza per la collaborazione tra le varie
autorità di controllo. Tale meccanismo è gestito tramite il Comitato europeo
per la protezione dei dati.
6IL REGOLAMENTO 2016/679/UE: NOVITÀ DI MAGGIOR RILIEVO
- IL REGISTRO DELLE ATTIVITA’ DI TRATTAMENTO -
Un’altra delle novità più significative introdotte dal Regolamento 679 è data
dall'introduzione del registro delle attività di trattamento.
Il titolare del trattamento tiene un registro delle attività di trattamento svolte
sotto la propria responsabilità (art. 30).
Tale registro deve contenere, inter alia, una serie di informazioni, quali ad
esempio:
una descrizione delle
il nome e i dati di
categorie di interessi e
controllo del titolare le finalità del trattamento
delle categorie di dati
del trattamento
personali
Eccezione: gli obblighi di cui all'art. 30 "non si applicano alle imprese con meno
di 250 dipendenti, a meno che il trattamento che esse effettuano possa
presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non
7
sia occasionale o includa il trattamento di categorie particolari di dati (…)" (art.
30, c. 5).IL REGOLAMENTO 2016/679/UE: NOVITÀ DI MAGGIOR RILIEVO
- LA VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI -
Altra novità rilevante introdotta dal Regolamento 679 è l'introduzione dell'obbligo di
effettuare una valutazione di impatto sulla protezione dei dati (art. 35).
Tale valutazione è richiesta in particolare nei seguenti casi:
"una valutazione sistematica e "il trattamento, su larga scala,
globale di aspetti personali di categorie particolari di dati
relativi a persone fisiche (…) e personali di cui all'articolo 9, "la sorveglianza
sulla quale si fondano paragrafo 1 [n.d.r. origine sistematica su larga scala
decisioni che hanno effetti razziale o etnica, opinioni di una zona accessibile al
giuridici o incidono in modo politiche, etc.], o di dati pubblico"
analogo significativamente su relativi a condanne penali e a
dette persone fisiche" reati di cui all'articolo 10" o
Sarà comunque l’autorità di controllo (in Italia, il Garante della Privacy) a redigere e
rendere pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una
8
valutazione d'impatto.IL REGOLAMENTO 2016/679/UE: NOVITÀ DI MAGGIOR RILIEVO
- IL RESPONSABILE DELLA PROTEZIONE DEI DATI -
Il Regolamento 679 ha introdotto una nuova figura che è quella del responsabile della
protezione dei dati.
Il titolare del trattamento designa un responsabile della protezione dei dati quando
sussistono determinate condizioni (art. 37).
Un gruppo imprenditoriale può nominare un unico responsabile della protezione dei dati a
patto che quest'ultimo sia facilmente raggiungibile da ciascuno stabilimento (art. 37).
Il responsabile può essere un dipendente del titolare del trattamento oppure assolvere i
suoi compiti in base a un contratto di servizi (art. 37).
Ai sensi dell'art. 39, il responsabile è incaricato, inter alia, dei seguenti compiti:
informare e fornire
consulenza al titolare sorvegliare
cooperare con
del trattamento in l'osservanza del
l'autorità di controllo 9
merito agli obblighi Regolamento 679
derivanti dal
Regolamento 679IL REGOLAMENTO 2016/679/UE: NOVITÀ DI MAGGIOR RILIEVO
- NOTIFICA VIOLAZIONE DEI DATI -
Nel caso di violazione di dati personali, il titolare del trattamento ai sensi
dell'art. 33 notifica tale violazione all'autorità di controllo competente senza
ingiustificato ritardo e, laddove possibile, entro 72 ore dal momento in cui ne
è venuto a conoscenza.
Eccezione: tale adempimento viene meno se risulta "improbabile che la
violazione dei dati personali presenti un rischio per i diritti e le libertà delle
persone fisiche" (art. 33, c. 1).
Il titolare del trattamento documenta qualsiasi violazione dei dati personali,
comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti
adottati per porvi rimedio.
10IL REGOLAMENTO 2016/679/UE: NOVITÀ DI MAGGIOR RILIEVO
- SANZIONI -
Per quanto riguarda le condizioni generali per infliggere sanzioni amministrative
pecuniarie, il Regolamento 679 ha aumentato l'importo di tali sanzioni che, in
presenza di determinate condizioni, può raggiungere i 20 milioni di euro o, per
le imprese, il 4 % del fatturato mondiale totale annuo dell'esercizio precedente
(art. 83).
11CYBERSECURITY LA DIRETTIVA 2016/1148/UE
LA DIRETTIVA 2016/1148/UE
- PILLOLE -
Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016,
recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi
informativi nell'Unione (di seguito, la "Direttiva 1148").
La Direttiva 1148 dovrà essere recepita negli ordinamenti nazionali entro il 9 maggio 2018.
La Direttiva 1148 si prefigge l’obiettivo di conseguire un elevato livello comune di
sicurezza delle reti e dei sistemi dell'informazione all'interno dell'UE così da migliorare il
funzionamento del mercato interno.
Gli Stati Membri devono, inter alia:
designare autorità nazionali competenti, punti
adottare una strategia nazionale in di contatto unici e CSIRT (reti di gruppi di
materia di sicurezza della rete e dei intervento per la sicurezza informatica in caso di
incidente) con compiti connessi alla sicurezza
sistemi informativi
della rete e dei sistemi informativi 13LA DIRETTIVA 2016/1148/UE
- OBBLIGHI DEGLI OPERATORI DI SERVIZI ESSENZIALI E DEI FORNITORI DI SERVIZI DIGITALI -
Gli operatori di servizi essenziali così come i fornitori di servizi digitali sono tenuti ad una
serie di obblighi tra i quali si ricordano, a mero titolo esemplificativo e non esaustivo, i
seguenti:
adottare misure adottare misure notificare senza
tecniche e organizzative adeguate per prevenire indebito ritardo
adeguate e e minimizzare l'impatto all'autorità
proporzionate alla di incidenti a carico competente o al
gestione dei rischi posti della sicurezza della CSIRT gli incidenti
alla sicurezza delle reti e rete e dei sistemi aventi un impatto
dei sistemi informativi informativi utilizzati per rilevante sulla
che usano nelle loro la fornitura dei rispettivi continuità dei rispettivi
operazioni servizi servizi
14LA CYBERSECURITY IN ITALIA
PERCHÉ LE PMI DEVONO DIFENDERSI?
IL RUOLO DEL TOP MANAGEMENT E L’ITALIAN CYBER SECURITY
REPORT 2016LA CYBERSECURITY IN ITALIA
- PERCHÉ LE PMI DEVONO DIFENDERSI?
Le PMI e le micro imprese rappresentano la spina dorsale
dell’economia italiana: hanno idee creative e originali, sono
innovative, depositano brevetti, dispongono di eccellenze produttive,
ecc.
Per tali ragioni sono costantemente oggetto di attacchi informatici: la
loro vulnerabilità nasce, inter alia, da un basso livello (i) di
consapevolezza del rischio, (ii) di capacità di reazione, (iii) di
aggiornamento e di formazione del personale e da una limitata
disponibilità del budget.
E’ necessario dunque predisporre una efficace strategia di sicurezza
capace di prevenire gli attacchi e tutelare il patrimonio e la ricchezza
16
creativa e i dati dell’impresa stessa.COME GESTIRE IL RISCHIO INFORMATICO?
- IL RUOLO DEL TOP MANAGEMENT – (SEGUE)
E’ bene precisare che gli attacchi informatici riguardano tutte le aziende
(aziende di grandi dimensioni e PMI).
I danni provocati da un attacco informatico non riguardano solo il furto di IP
Rights e di dati sensibili e informazioni riservate ma investono anche la
reputazione dell’azienda.
Per tali ragioni è indispensabile che i CdA e il top management delle aziende
valutino i nuovi rischi con estrema attenzione.
La minaccia informatica rientra tra i rischi di alto livello. 17COME GESTIRE IL RISCHIO INFORMATICO?
- IL RUOLO DEL TOP MANAGEMENT – (SEGUE)
Al fine di attuare una efficace politica di gestione del rischio cyber, come è stato anche
riportato nell'Italian Cyber Security Report del 2015, i CdA e il top management delle
aziende dovrebbero avviare le seguenti iniziative:
la sicurezza ruoli e
il rischio il ruolo del CISO
informatica responsabilità
informatico
consapevolezza
scambio di
monitoraggio e cultura della
risorse informazioni e
integrato sicurezza
cooperazione
informatica
18COME GESTIRE IL RISCHIO INFORMATICO?
- IL RUOLO DEL TOP MANAGEMENT – (SEGUE)
Il rischio informatico: il CdA e i vertici aziendali devono inserire i rischi informatici tra quelli di alto livello.
Il top management è chiamato ad affrontare il tema della sicurezza informatica come "un problema di
gestione generale del rischio e non esclusivamente come un problema dell'Information Technology".
La sicurezza informatica: la sicurezza informatica deve essere vista come "uno degli elementi strategici
intorno ai quali si estrinseca la visione aziendale". Il top management deve predisporre un piano di
governo integrato della sicurezza informatica che (i) coinvolga tutte le funzioni aziendali e (ii) comprenda
tutte le aree di rischio operativo. E' importante che il top management si adoperi affinché il modello di
governance e il piano di sicurezza informatica "siano integrati con il piano aziendale per la gestione dei
rischi e il piano di gestione crisi".
Ruoli e responsabilità: le aziende spesso commettono l'errore di assegnare in via esclusiva all'IT la
gestione della sicurezza informatica. Infatti tale scelta può determinare una serie di problemi (es., si può
creare una tensione tra gli investimenti dell'IT e quelli di cyber security: frequentemente, i tagli al budget
dell'IT ricadono direttamente sui budget della sicurezza). Per assicurare una copertura totale dell'azienda,
sarebbe consigliabile affiancare le funzioni di sicurezza della divisione IT con quelle collocate al di fuori
dell'IT guidate dal CISO. Tale soluzione permette di poter diversificare i controlli di sicurezza di 1° livello (a
carico dell'IT) da quelli di 2° livello (a carico del CISO).
19COME GESTIRE IL RISCHIO INFORMATICO?
- IL RUOLO DEL TOP MANAGEMENT – (SEGUE)
Il ruolo del CISO: il CISO (Chief Information Security Officer) deve essere individuato dal
top management e selezionato sulla base di adeguate competenze. Tra le principali
responsabilità si segnala, inter alia, "l'analisi dei maggiori incidenti, delle loro
conseguenze e delle azioni intraprese per la mitigazione di future occorrenze".
Monitoraggio integrato: il top management è chiamato a valutare periodicamente i rischi
individuati nonché il piano previsto per la loro mitigazione.
Risorse: il top management è chiamato a valutare se vi siano sufficienti risorse
economiche e di personale per supportare il piano di sicurezza.
Consapevolezza e cultura della sicurezza informatica: il top management è chiamato a
sostenere delle iniziative per favorire la consapevolezza e la cultura della sicurezza
informatica a tutti i livelli aziendali.
Scambio di informazioni e cooperazione: il top management è chiamato a sostenere
iniziative per rafforzare rapporti di cooperazione con altri organizzazioni del medesimo
20
settore e con le istituzioni competenti.LA CYBERSECURITY IN ITALIA
- L’ITALIAN CYBER SECURITY REPORT 2016 - (SEGUE)
Il 2 marzo 2017 è stato presentato, presso l’Aula Magna dell’Università La Sapienza di
Roma, il nuovo Italian Cyber Security Report 2016.
Tale rapporto, per la prima volta, si rivolge alle PMI e alle micro imprese proponendo 15
Controlli Essenziali di Cybersecurity che dovrebbero essere adottati per diminuire il
numero di vulnerabilità presenti nei loro sistemi e per incrementare la consapevolezza del
personale interno, in modo da resistere ai più comuni attacchi informatici.
I 15 Controlli Essenziali di Cybersecurity sono di facile implementazione e il rapporto
fornisce una guida su come implementare tali controlli.
Per “Controlli Essenziali” si intende una pratica relativa alla Cybersecurity che, laddove
ignorata oppure implementata in modo non appropriato, può determinare un aumento
considerevole del rischio informatico. Tale incremento del rischio implica che l’operatività
dell’azienda, la riservatezza dei dati o la loro integrità, viene compromessa con una
probabilità troppo alta per essere considerata accettabile. Di contro, la corretta
implementazione dei 15 controlli ritenuti essenziali ha come immediata conseguenza una
riduzione notevole del rischio. 21LA CYBERSECURITY IN ITALIA
- L’ITALIAN CYBER SECURITY REPORT 2016 - (SEGUE)
I 15 Controlli Essenziali sono raggruppati nelle seguenti tipologie:
Inventario dei Gestione
Protezione
dispositivi e Governance password e
del software da malware
account
Formazione e Protezione Protezione Prevenzione
consapevolezza delle reti e mitigazione
dei dati
22GRAZIE PER L’ATTENZIONE
STUDIO LEGALE ORRICK, HERRINGTON & SUTCLIFFE (EUROPE) LLP
AVV. MARCO ZECHINI
MZECHINI@ORRICK.COMPuoi anche leggere
