Università degli Studi di Roma «Sapienza»
La cybersecurity e la sicurezza informatica nel contesto della protezione dei dati personali
Cosimo Comella <c.comella@gpdp.it>
Dipartimento tecnologie digitali e sicurezza informatica Garante per la protezione dei dati personali
Argomenti
• Rapporto tra cybersecurity, data protection e sicurezza informatica
• La sicurezza informatica nella disciplina della protezione dei dati personali
• Misure di sicurezza e misure minime: aspetti problematici
• L’esperienza del Garante per la protezione dei dati personali
• Gli aspetti innovativi nel nuovo Regolamento generale sulla protezione dei dati (UE) 2016/679
Cybersecurity, sicurezza informatica, data protection 2222
Cybersecurity
• In base alla definizione del NIST, può essere intesa come la capacità di proteggere o difendere l’uso dello «spazio cibernetico» dagli attacchi (cyber attacks)
(NIST IR 7298 Revision 2, Glossary of Key Information Security Terms)
• Tale capacità si esplica tramite strumenti, metodologie informatiche, aderenza a standard, rispetto di norme tecniche, adozione di misure e accorgimenti tecnici e organizzativi
• La definizione prescinde da una specifica natura dei dati elaborati o delle funzioni svolte dai sistemi informativi
Cybersecurity, sicurezza informatica, data protection 3
Computer security
Sicurezza informatica nel senso più strettamente legato ai sistemi di elaborazione – Integrità e inalterabilità delle informazioni registrate (procedure di backup e recovery dei dati)
– Business continuity e Disaster recovery – Protezione da agenti malevoli (virus, malware…) con strumenti software specializzati – Protezione da attività intrusive a provenienza esterna (personal firewall)
– Integrità e aggiornamento dei sistemi di elaborazione (updating)
Cybersecurity, sicurezza informatica, data protection 4
Network security
Aspetti di sicurezza più legati alla fase di trasmissione delle informazioni o all’interazione in rete tra sistemi, persone (e cose…)
– Cifratura e tecniche crittografiche – Certificati e firme digitali
– Infrastrutture a chiave pubblica (PKI) – Protezione perimetrale (firewall) – Intrusion detection/prevention systems – Log analysis
Cybersecurity, sicurezza informatica, data protection 5
Informazioni e dati personali
• I sistemi informatici possono trattare (elaborare, conservare, trasmettere…) dati comuni o dati personali
• La cybersecurity trova applicazione alla generalità dei sistemi informatici, prescindendo da specifiche tipologie di dati trattati o dalle finalità dell’esercizio dei sistemi
• Tramite la maggior parte dei sistemi informatici si eseguono trattamenti di dati personali e trova quindi applicazione la disciplina normativa sulla protezione dei dati personali
• Alcuni sistemi informatici sono considerati in sé «infrastrutture critiche», altri sono critici in quanto strumentali al controllo e all’esercizio di impianti critici «non IT»
Cybersecurity, sicurezza informatica, data protection 6
Esigenze di sicurezza informatica
• Misure di sicurezza sono richieste, con diverso grado di imperatività, a protezione dei sistemi informatici in generale, delle banche dati (sistemi informatici in cui vengono trattati dati personali), delle infrastrutture informatiche critiche o strumentali al controllo di
infrastrutture critiche «non IT»
• Le diverse esigenze di sicurezza hanno spesso comuni strumenti per essere affrontate • La specializzazione delle misure di sicurezza è necessaria in alcuni casi, dipendendo dalla natura delle informazioni e dei dati, dalle modalità di loro elaborazione, dagli scenari di rischio
Cybersecurity, sicurezza informatica, data protection 7
La sicurezza informatica nel contesto della protezione dei dati personali
• Norme di riferimento
– Direttiva 95/46/CE
– Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196) ------------------------------------------------------ – Regolamento (UE) 2016/679 del 27 aprile 2016, pubblicato sulla G.U. dell’Unione europea del 4 maggio 2016 (entrato in vigore il 24 maggio 2016)
– Direttiva (UE) 2016/681 del 27 aprile 2016, pubblicata sulla G.U. dell’Unione europea del 5 maggio 2016 (entrata in vigore il 6 maggio)
Cybersecurity, sicurezza informatica, data protection 8
Le misure di sicurezza attuali
• Le previsioni del Codice italiano – Adozione di misure idonee e preventive rispetto all’inizio del trattamento (Art. 31) – Prescrizioni per determinati titolari (Art. 32)
– Misure minime di sicurezza per garantire un livello basilare di protezione dei dati personali (Artt. 33, 34)
– Allegato B al Codice – Disciplinare tecnico in materia di misure minime di sicurezza – Violazione delle misure minime costituisce (tuttora) reato
Cybersecurity, sicurezza informatica, data protection 9
Le principali novità del Regolamento
• Il “pacchetto protezione dati” è stato presentato dalla Commissione il 25 gennaio 2012 e approvato definitivamente dal Parlamento e dal Consiglio il 27 aprile 2016
• Scopo del pacchetto è garantire un quadro coerente e complessivamente armonizzato in materia di protezione dei dati personali
• Si compone di due diversi strumenti:
– un Regolamento volto a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, che sostituisce la Direttiva 95/46
– una Direttiva indirizzata alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all’esecuzione delle sanzioni penali, che sostituisce la decisione quadro 977/2008, peraltro non ancora attuata dall’Italia
Cybersecurity, sicurezza informatica, data protection 10
Caratteristiche generali del Regolamento
• Previsione di diversi obblighi nei confronti di titolari e responsabili stabiliti in UE
• Maggiore coerenza di norme valide in tutta Europa rispetto al regime determinato dalla Direttiva del 1995 e dal suo recepimento da parte degli Stati membri
•“One single law applicable throughout Europe”
• Possibilità o necessità di specifiche regolamentazioni a livello nazionale in alcune aree lasciate alla competenza delle leggi nazionali
Cybersecurity, sicurezza informatica, data protection 11
La sicurezza dei dati personali nel nuovo Regolamento europeo
La sicurezza nelle considerazioni preliminari
Considerando (39)
[…] I dati personali dovrebbero essere trattati in modo da garantirne un'adeguata sicurezza e riservatezza, anche per impedire l'accesso o l'utilizzo non autorizzato dei dati personali e delle attrezzature impiegate per il trattamento.
Considerando (49)
Costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell'informazione, vale a dire la capacità di una rete o di un sistema d'informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l'autenticità, l'integrità e la riservatezza dei dati personali conservati o trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di tecnologie e servizi di sicurezza.
Ciò potrebbe, ad esempio, includere misure atte a impedire l'accesso non autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e di comunicazione elettronica.
12
Cybersecurity, sicurezza informatica, data protection
La sicurezza dei dati personali nel nuovo Regolamento europeo
Considerando (71)
decisioni basate su trattamenti automatizzati
[…] è opportuno che sia consentito adottare decisioni sulla base di tale trattamento, compresa la profilazione, se ciò è espressamente previsto dal diritto dell'Unione o degli Stati membri cui è soggetto il titolare del
trattamento, anche a fini di monitoraggio e prevenzione delle frodi e dell'evasione fiscale secondo i regolamenti, le norme e le
raccomandazioni delle istituzioni dell'Unione o degli organismi nazionali di vigilanza e a garanzia della sicurezza e dell'affidabilità di un servizio fornito dal titolare del trattamento, […]
13
Cybersecurity, sicurezza informatica, data protection
La sicurezza dei dati personali nel nuovo Regolamento europeo
Considerando (78)
– […] adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione => data protection by design
– e della protezione dei dati di default => data protection by default – ridurre al minimo il trattamento dei dati personali,
– pseudonimizzare i dati personali il più presto possibile
– consentire al titolare del trattamento di creare e migliorare caratteristiche di sicurezza
– i principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell'ambito degli appalti pubblici
Cybersecurity, sicurezza informatica, data protection 14
La sicurezza dei dati personali nel nuovo Regolamento europeo
Considerando (81)
il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento.
Cybersecurity, sicurezza informatica, data protection 15
La sicurezza dei dati personali nel nuovo Regolamento europeo
Considerando (83)
– Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura.
– Tali misure dovrebbero assicurare un adeguato livello di sicurezza, inclusa la riservatezza, tenuto conto dello stato dell'arte e dei costi di attuazione rispetto ai rischi che presentano i trattamenti e alla natura dei dati personali da proteggere.
– Nella valutazione del rischio per la sicurezza dei dati è opportuno tenere in considerazione i rischi presentati dal trattamento dei dati personali, come la distruzione accidentale o illegale, la perdita, la modifica, la rivelazione o l'accesso non autorizzati a dati personali trasmessi, conservati o comunque elaborati, che potrebbero cagionare in particolare un danno fisico, materiale o immateriale.
Cybersecurity, sicurezza informatica, data protection 16
La sicurezza dei dati personali nel nuovo Regolamento europeo
Considerando (89, 90, 91)
– trattamenti che potenzialmente presentano un rischio elevato per i diritti e le libertà delle persone fisiche, per loro natura, ambito di applicazione, contesto e finalità
– valutazione d'impatto sulla protezione dei dati prima del trattamento, per valutare la particolare probabilità e gravità del rischio, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio
– la valutazione di impatto dovrebbe vertere, in particolare, anche sulle misure, sulle garanzie e sui meccanismi previsti per attenuare il rischio – valutazione d'impatto sulla protezione dei dati nei casi in cui i dati personali sono trattati per adottare decisioni riguardanti determinate persone fisiche in seguito a una valutazione sistematica e globale di aspetti personali relativi alle persone fisiche, basata sulla profilazione di tali dati, o in seguito al trattamento di categorie particolari di dati personali, dati biometrici o dati relativi a condanne penali e reati o a connesse misure di sicurezza.
Cybersecurity, sicurezza informatica, data protection 17
La sicurezza dei dati personali nel nuovo Regolamento europeo
Nuovi concetti definiti nelle norme
Articolo 4 (Definizioni)
– «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
– «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;
– «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;
Cybersecurity, sicurezza informatica, data protection 18
Le nuove regole europee sulla protezione dei dati IL REGOLAMENTO (UE) 2016/679
Aspetti relativi alla data protection by-design e by-default
Cybersecurity, sicurezza
19
informatica, data protection
Data protection by design e
data protection by default
• Non sono concetti del tutto nuovi
• Art. 3 Codice italiano (d.lgs. 30 giugno 2003, n. 196) Principio di necessità nel trattamento dei dati: « I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità »
• Si può considerare antesignano rispetto all’esigenza di una preventiva organizzazione dei trattamenti in modo che siano volti al rispetto della privacy, addirittura talvolta evitando l’uso di dati personali
Cybersecurity, sicurezza informatica, data protection 20
Protezione dei dati personali by design e by default
• 2010 International Conference of Data Protection and Privacy
Commissioners, Jerusalem, IL • Resolution on Privacy by Design, 27- 29 October 2010
Cybersecurity, sicurezza informatica, data protection 21
Cybersecurity, sicurezza informatica, data protection
Resolution on Privacy by Design – Jerusalem, 2010
• Privacy by Design recognized as an essential component of fundamental privacy protection
The Foundational Principles
• Proactive not Reactive; Preventative not Remedial • Privacy as the Default
• Privacy Embedded into Design
• Full Functionality: Positive-Sum, not Zero-Sum • End-to-End Lifecycle Protection
• Visibility and Transparency
• Respect for User Privacy
Cybersecurity, sicurezza informatica, data protection 22
Resolution on Privacy by Design – Jerusalem, 2010
• Privacy by Design recognized as an essential component of fundamental privacy protection
The Foundational Principles
• Proactive not Reactive; Preventative not Remedial • Privacy as the Default
• Privacy Embedded into Design
• Full Functionality: Positive-Sum, not Zero-Sum • End-to-End Lifecycle Protection
• Visibility and Transparency
• Respect for User Privacy
Cybersecurity, sicurezza informatica, data protection 23
Le nuove regole della data protection
• Il “pacchetto protezione dati” è stato presentato dalla Commissione il 25 gennaio 2012 e approvato definitivamente il 27 aprile 2016
• Scopo del pacchetto è garantire un quadro coerente e complessivamente armonizzato in materia di protezione dei dati personali
• Si compone di due diversi strumenti:
– un Regolamento volto a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, che sostituisce la Direttiva 95/46
– una Direttiva indirizzata alla regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all’esecuzione delle sanzioni penali, che sostituisce la decisione quadro 977/2008, peraltro non ancora attuata dall’Italia
Cybersecurity, sicurezza informatica, data protection 24
Protezione dei dati personali
by design e by default nel nuovo Regolamento UE
Articolo 25
Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita
1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
Cybersecurity, sicurezza informatica, data protection 25
Protezione dei dati personali by design e by default
2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità.
In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.
Cybersecurity, sicurezza informatica, data protection 26
Protezione dei dati personali by design e by default
3. Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.
Cybersecurity, sicurezza informatica, data protection 27
La sicurezza dei dati personali nel nuovo Regolamento europeo
Articolo 5 (Principi applicabili al trattamento di dati personali)
1. I dati personali sono:
• […]
• f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Cybersecurity, sicurezza informatica, data protection 28
La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 30 (Registri delle attività di trattamento)
1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.
Cybersecurity, sicurezza informatica, data protection 29
La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 30 (Registri delle attività di trattamento)
2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa
l'identificazione del paese terzo o dell'organizzazione
internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.
Cybersecurity, sicurezza informatica, data protection 30
La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 30 (Registri delle attività di trattamento)
3. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.
4. Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell'autorità di controllo.
5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10.
Cybersecurity, sicurezza informatica, data protection 31
La sicurezza dei dati personali nel nuovo Regolamento europeo
Articolo 32 (Sicurezza del trattamento)
1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Cybersecurity, sicurezza informatica, data protection 32
La sicurezza dei dati personali nel nuovo Regolamento europeo
Articolo 32 (Sicurezza del trattamento)
2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
3. L'adesione a un codice di condotta approvato di cui all'articolo 40 o a un meccanismo di certificazione approvato di cui all'articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 del presente articolo.
4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell'Unione o degli Stati membri.
Cybersecurity, sicurezza informatica, data protection 33
La sicurezza dei dati personali nel nuovo Regolamento europeo
Articolo 33 (Notifica di una violazione dei dati personali all'autorità di controllo)
1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.
2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
3. La notifica di cui al paragrafo 1 deve almeno:
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Cybersecurity, sicurezza informatica, data protection 34
La sicurezza dei dati personali nel nuovo Regolamento europeo
Articolo 33 (Notifica di una violazione dei dati personali all'autorità di controllo)
4. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
5. Il titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all'autorità di controllo di verificare il rispetto del presente articolo.
Cybersecurity, sicurezza informatica, data protection 35
La sicurezza dei dati personali nel nuovo Regolamento europeo
Articolo 34 (Comunicazione di una violazione dei dati personali all'interessato)
1. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento
comunica la violazione all'interessato senza
ingiustificato ritardo.
2. La comunicazione all'interessato di cui al paragrafo 1 del presente articolo descrive con un linguaggio semplice e chiaro la natura della violazione dei dati personali e contiene almeno le informazioni e le misure di cui all'articolo 33, paragrafo 3, lettere b), c) e d).
Cybersecurity, sicurezza informatica, data protection 36
La sicurezza dei dati personali nel nuovo Regolamento europeo
Articolo 34 (Comunicazione di una violazione dei dati personali all'interessato)
3. Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:
a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;
b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;
c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato all'interessato la violazione dei dati personali, l'autorità di controllo può richiedere, dopo aver valutato la probabilità che la violazione dei dati personali presenti un rischio elevato, che vi provveda o può decidere che una delle condizioni di cui al paragrafo 3 è soddisfatta.
Cybersecurity, sicurezza informatica, data protection 37
La sicurezza dei dati personali nel nuovo Regolamento europeo
Articolo 35 (Valutazione d'impatto sulla protezione dei dati) 1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.
2. Il titolare del trattamento, allorquando svolge una valutazione d'impatto sulla protezione dei dati, si consulta con il responsabile della protezione dei dati, qualora ne sia designato uno.
3. La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10;
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
38
Cybersecurity, sicurezza informatica, data protection
La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 35 (Valutazione d'impatto sulla protezione dei dati)
4. L'autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi del paragrafo 1. L'autorità di controllo comunica tali elenchi al comitato di cui all'articolo 68.
5. L'autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati. L'autorità di controllo comunica tali elenchi al comitato.
6. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l'autorità di controllo competente applica il meccanismo di coerenza di cui all'articolo 63 se tali elenchi comprendono attività di trattamento finalizzate all'offerta di beni o servizi a interessati o al monitoraggio del loro comportamento in più Stati membri, o attività di trattamento che possono incidere significativamente sulla libera circolazione dei dati personali all'interno dell'Unione.
39
Cybersecurity, sicurezza informatica, data protection
La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 35 (Valutazione d'impatto sulla protezione dei dati)
7. La valutazione contiene almeno:
a) una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l'interesse legittimo perseguito dal titolare del trattamento;
b) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
c) una valutazione dei rischi per i diritti e le libertà degli interessati di cui al paragrafo 1; e
d) le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al presente regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
40
Cybersecurity, sicurezza informatica, data protection
La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 35 (Valutazione d'impatto sulla protezione dei dati)
8. Nel valutare l'impatto del trattamento effettuato dai relativi titolari o responsabili è tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta approvati di cui all'articolo 40, in particolare ai fini di una valutazione d'impatto sulla protezione dei dati.
9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.
10. Qualora il trattamento effettuato ai sensi dell'articolo 6, paragrafo 1, lettere c) o e), trovi nel diritto dell'Unione o nel diritto dello Stato membro cui il titolare del trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento specifico o l'insieme di trattamenti in questione, e sia già stata effettuata una valutazione d'impatto sulla protezione dei dati nell'ambito di una valutazione d'impatto generale nel contesto dell'adozione di tale base giuridica, i paragrafi da 1 a 7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale valutazione prima di procedere alle attività di trattamento.
11. Se necessario, il titolare del trattamento procede a un riesame per valutare se il trattamento dei dati personali sia effettuato conformemente alla valutazione d'impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio rappresentato dalle attività relative al trattamento.
41
Cybersecurity, sicurezza informatica, data protection
La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 36 (Consultazione preventiva)
1. Il titolare del trattamento, prima di procedere al trattamento, consulta l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei dati a norma dell'articolo 35 indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio.
2. Se ritiene che il trattamento previsto di cui al paragrafo 1 violi il presente regolamento, in particolare qualora il titolare del trattamento non abbia identificato o attenuato sufficientemente il rischio, l'autorità di controllo fornisce, entro un termine di otto settimane dal ricevimento della richiesta di consultazione, un parere scritto al titolare del trattamento e, ove applicabile, al responsabile del trattamento e può avvalersi dei poteri di cui all'articolo 58. Tale periodo può essere prorogato di sei settimane, tenendo conto della complessità del trattamento previsto. L'autorità di controllo informa il titolare del trattamento e, ove applicabile, il responsabile del trattamento di tale proroga, unitamente ai motivi del ritardo, entro un mese dal ricevimento della richiesta di consultazione. La decorrenza dei termini può essere sospesa fino all'ottenimento da parte dell'autorità di controllo delle informazioni richieste ai fini della consultazione.
42
Cybersecurity, sicurezza informatica, data protection
La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 36 (Consultazione preventiva)
3. Al momento di consultare l'autorità di controllo ai sensi del paragrafo 1, il titolare del trattamento comunica all'autorità di controllo:
a) ove applicabile, le rispettive responsabilità del titolare del trattamento, dei contitolari del trattamento e dei responsabili del trattamento, in particolare relativamente al trattamento nell'ambito di un gruppo imprenditoriale; b) le finalità e i mezzi del trattamento previsto;
c) le misure e le garanzie previste per proteggere i diritti e le libertà degli interessati a norma del presente regolamento;
d) ove applicabile, i dati di contatto del titolare della protezione dei dati; e) la valutazione d'impatto sulla protezione dei dati di cui all'articolo 35; f) ogni altra informazione richiesta dall'autorità di controllo.
4. Gli Stati membri consultano l'autorità di controllo durante l'elaborazione di una proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di misura regolamentare basata su detto atto legislativo relativamente al trattamento.
5. Nonostante il paragrafo 1, il diritto degli Stati membri può prescrivere che i titolari del trattamento consultino l'autorità di controllo, e ne ottengano l'autorizzazione preliminare, in relazione al trattamento da parte di un titolare del trattamento per l'esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il trattamento con riguardo alla protezione sociale e alla sanità pubblica.
43
Cybersecurity, sicurezza informatica, data protection
FINE
44 Cybersecurity, sicurezza informatica, data protection