Published using Google Docs
COMELLA - SAPIENZA 13 dicembre 2016
Updated automatically every 5 minutes

Università degli Studi di Roma «Sapienza»

La cybersecurity e la sicurezza informatica nel  contesto della protezione dei dati personali

Cosimo Comella <c.comella@gpdp.it>

Dipartimento tecnologie digitali e sicurezza informatica Garante per la protezione dei dati personali

Argomenti

Rapporto tra cybersecurity, data protection e  sicurezza informatica

La sicurezza informatica nella disciplina della  protezione dei dati personali

Misure di sicurezza e misure minime: aspetti  problematici

L’esperienza del Garante per la protezione dei  dati personali

Gli aspetti innovativi nel nuovo Regolamento  generale sulla protezione dei dati (UE)  2016/679

Cybersecurity, sicurezza informatica, data protection 2222

Cybersecurity

In base alla definizione del NIST, può essere  intesa come la capacità di proteggere o difendere  l’uso dello «spazio cibernetico» dagli attacchi (cyber attacks)

(NIST IR 7298 Revision 2, Glossary of Key  Information Security Terms)

Tale capacità si esplica tramite strumenti,  metodologie informatiche, aderenza a standard,  rispetto di norme tecniche, adozione di misure e  accorgimenti tecnici e organizzativi

La definizione prescinde da una specifica natura  dei dati elaborati o delle funzioni svolte dai  sistemi informativi

Cybersecurity, sicurezza informatica, data protection 3

Computer security

Sicurezza informatica nel senso più  strettamente legato ai sistemi di elaborazione Integrità e inalterabilità delle informazioni  registrate (procedure di backup e recovery dei  dati)

Business continuity e Disaster recovery Protezione da agenti malevoli (virus,  malware…) con strumenti software specializzati Protezione da attività intrusive a provenienza  esterna (personal firewall)

Integrità e aggiornamento dei sistemi di  elaborazione (updating)

Cybersecurity, sicurezza informatica, data protection 4

Network security

Aspetti di sicurezza più legati alla fase  di trasmissione delle informazioni o  all’interazione in rete tra sistemi,  persone (e cose…)

Cifratura e tecniche crittografiche Certificati e firme digitali

Infrastrutture a chiave pubblica (PKI) Protezione perimetrale (firewall) Intrusion detection/prevention systems Log analysis

Cybersecurity, sicurezza informatica, data protection 5

Informazioni e dati personali

I sistemi informatici possono trattare  (elaborare, conservare, trasmettere…) dati  comuni o dati personali 

La cybersecurity trova applicazione alla  generalità dei sistemi informatici, prescindendo  da specifiche tipologie di dati trattati o dalle  finalità dell’esercizio dei sistemi

Tramite la maggior parte dei sistemi informatici  si eseguono trattamenti di dati personali e  trova quindi applicazione la disciplina normativa  sulla protezione dei dati personali

Alcuni sistemi informatici sono considerati in sé  «infrastrutture critiche», altri sono critici in  quanto strumentali al controllo e all’esercizio di  impianti critici «non IT»

Cybersecurity, sicurezza informatica, data protection 6

Esigenze di sicurezza informatica

Misure di sicurezza sono richieste, con diverso  grado di imperatività, a protezione dei sistemi  informatici in generale, delle banche dati (sistemi informatici in cui vengono trattati dati  personali), delle infrastrutture informatiche  critiche o strumentali al controllo di  

infrastrutture critiche «non IT»

Le diverse esigenze di sicurezza hanno spesso  comuni strumenti per essere affrontate La specializzazione delle misure di sicurezza è  necessaria in alcuni casi, dipendendo dalla  natura delle informazioni e dei dati, dalle  modalità di loro elaborazione, dagli scenari di  rischio

Cybersecurity, sicurezza informatica, data protection 7

La sicurezza informatica nel contesto  della protezione dei dati personali

Norme di riferimento

Direttiva 95/46/CE

Codice in materia di protezione dei dati  personali (d.lgs. 30 giugno 2003, n. 196) ------------------------------------------------------ Regolamento (UE) 2016/679 del 27 aprile  2016, pubblicato sulla G.U. dell’Unione  europea del 4 maggio 2016 (entrato in vigore  il 24 maggio 2016)

Direttiva (UE) 2016/681 del 27 aprile 2016,  pubblicata sulla G.U. dell’Unione europea del 5  maggio 2016 (entrata in vigore il 6 maggio)

Cybersecurity, sicurezza informatica, data protection 8

Le misure di sicurezza attuali

Le previsioni del Codice italiano Adozione di misure idonee e preventive rispetto all’inizio del trattamento (Art. 31) Prescrizioni per determinati titolari (Art.  32)

Misure minime di sicurezza per garantire  un livello basilare di protezione dei dati  personali (Artt. 33, 34)

Allegato B al Codice – Disciplinare tecnico  in materia di misure minime di sicurezza Violazione delle misure minime costituisce  (tuttora) reato

Cybersecurity, sicurezza informatica, data protection 9

Le principali novità del Regolamento

Il “pacchetto protezione dati” è stato presentato  dalla Commissione il 25 gennaio 2012 e  approvato definitivamente dal Parlamento e dal  Consiglio il 27 aprile 2016

Scopo del pacchetto è garantire un quadro  coerente e complessivamente armonizzato in  materia di protezione dei dati personali

Si compone di due diversi strumenti:

un Regolamento volto a disciplinare i trattamenti di dati  personali sia nel settore privato sia nel settore pubblico,  che sostituisce la Direttiva 95/46

una Direttiva indirizzata alla regolamentazione dei  settori di prevenzione, contrasto e repressione dei  crimini, nonché all’esecuzione delle sanzioni penali, che  sostituisce la decisione quadro 977/2008, peraltro non  ancora attuata dall’Italia

Cybersecurity, sicurezza informatica, data protection 10

Caratteristiche generali del Regolamento

Previsione di diversi obblighi nei confronti di  titolari e responsabili stabiliti in UE

Maggiore coerenza di norme valide in tutta  Europa rispetto al regime determinato dalla  Direttiva del 1995 e dal suo recepimento da  parte degli Stati membri

One single law applicable throughout Europe

Possibilità o necessità di specifiche  regolamentazioni a livello nazionale in alcune  aree lasciate alla competenza delle leggi  nazionali

Cybersecurity, sicurezza informatica, data protection 11

La sicurezza dei dati personali nel nuovo Regolamento europeo

La sicurezza nelle considerazioni preliminari

Considerando (39)

[…] I dati personali dovrebbero essere trattati in modo da garantirne un'adeguata  sicurezza e riservatezza, anche per impedire l'accesso o l'utilizzo non  autorizzato dei dati personali e delle attrezzature impiegate per il trattamento.

Considerando (49)

Costituisce legittimo interesse del titolare del trattamento interessato trattare dati  personali relativi al traffico, in misura strettamente necessaria e proporzionata per  garantire la sicurezza delle reti e dell'informazione, vale a dire la capacità di una  rete o di un sistema d'informazione di resistere, a un dato livello di sicurezza, a  eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità,  l'autenticità, l'integrità e la riservatezza dei dati personali conservati o  trasmessi e la sicurezza dei relativi servizi offerti o resi accessibili tramite tali  reti e sistemi da autorità pubbliche, organismi di intervento in caso di emergenza  informatica (CERT), gruppi di intervento per la sicurezza informatica in caso di  incidente (CSIRT), fornitori di reti e servizi di comunicazione elettronica e fornitori di  tecnologie e servizi di sicurezza.

Ciò potrebbe, ad esempio, includere misure atte a impedire l'accesso non  autorizzato a reti di comunicazioni elettroniche e la diffusione di codici maligni, e a  porre termine agli attacchi da «blocco di servizio» e ai danni ai sistemi informatici e  di comunicazione elettronica.

12

Cybersecurity, sicurezza informatica, data protection

La sicurezza dei dati personali nel nuovo Regolamento europeo

Considerando (71)

decisioni basate su trattamenti automatizzati

[…] è opportuno che sia consentito adottare decisioni sulla base di tale  trattamento, compresa la profilazione, se ciò è espressamente previsto  dal diritto dell'Unione o degli Stati membri cui è soggetto il titolare del  

trattamento, anche a fini di monitoraggio e prevenzione delle frodi e  dell'evasione fiscale secondo i regolamenti, le norme e le  

raccomandazioni delle istituzioni dell'Unione o degli organismi nazionali di  vigilanza e a garanzia della sicurezza e dell'affidabilità di un servizio  fornito dal titolare del trattamento, […]

13

Cybersecurity, sicurezza informatica, data protection

La sicurezza dei dati personali nel nuovo Regolamento europeo

Considerando (78)

[…] adottare politiche interne e attuare misure che soddisfino in  particolare i principi della protezione dei dati fin dalla progettazione => data protection by design

e della protezione dei dati di default => data protection by default ridurre al minimo il trattamento dei dati personali,

pseudonimizzare i dati personali il più presto possibile

consentire al titolare del trattamento di creare e migliorare  caratteristiche di sicurezza

i principi della protezione dei dati fin dalla progettazione e di default  dovrebbero essere presi in considerazione anche nell'ambito degli  appalti pubblici

Cybersecurity, sicurezza informatica, data protection 14

La sicurezza dei dati personali nel nuovo Regolamento europeo

Considerando (81)

il titolare del trattamento dovrebbe ricorrere unicamente a  responsabili del trattamento che presentino garanzie  sufficienti, in particolare in termini di conoscenza  specialistica, affidabilità e risorse, per mettere in atto  misure tecniche e organizzative che soddisfino i requisiti  del presente regolamento, anche per la sicurezza del  trattamento.  

Cybersecurity, sicurezza informatica, data protection 15

La sicurezza dei dati personali nel nuovo Regolamento europeo

Considerando (83)

Per mantenere la sicurezza e prevenire trattamenti in violazione al  presente regolamento, il titolare del trattamento o il responsabile  del trattamento dovrebbe valutare i rischi inerenti al trattamento e  attuare misure per limitare tali rischi, quali la cifratura.

Tali misure dovrebbero assicurare un adeguato livello di sicurezza,  inclusa la riservatezza, tenuto conto dello stato dell'arte e dei costi  di attuazione rispetto ai rischi che presentano i trattamenti e alla  natura dei dati personali da proteggere.

Nella valutazione del rischio per la sicurezza dei dati è opportuno  tenere in considerazione i rischi presentati dal trattamento dei dati  personali, come la distruzione accidentale o illegale, la perdita, la  modifica, la rivelazione o l'accesso non autorizzati a dati personali  trasmessi, conservati o comunque elaborati, che potrebbero  cagionare in particolare un danno fisico, materiale o immateriale.

Cybersecurity, sicurezza informatica, data protection 16

La sicurezza dei dati personali nel nuovo Regolamento europeo

Considerando (89, 90, 91)

trattamenti che potenzialmente presentano un rischio elevato per i  diritti e le libertà delle persone fisiche, per loro natura, ambito di  applicazione, contesto e finalità

valutazione d'impatto sulla protezione dei dati prima del trattamento,  per valutare la particolare probabilità e gravità del rischio, tenuto  conto della natura, dell'ambito di applicazione, del contesto e delle  finalità del trattamento e delle fonti di rischio

la valutazione di impatto dovrebbe vertere, in particolare, anche sulle  misure, sulle garanzie e sui meccanismi previsti per attenuare il rischio valutazione d'impatto sulla protezione dei dati nei casi in cui i dati  personali sono trattati per adottare decisioni riguardanti determinate  persone fisiche in seguito a una valutazione sistematica e globale di  aspetti personali relativi alle persone fisiche, basata sulla profilazione di tali dati, o in seguito al trattamento di categorie particolari di dati  personali, dati biometrici o dati relativi a condanne penali e reati o a  connesse misure di sicurezza.  

Cybersecurity, sicurezza informatica, data protection 17

La sicurezza dei dati personali nel nuovo Regolamento europeo

Nuovi concetti definiti nelle norme

Articolo 4 (Definizioni)

«pseudonimizzazione»: il trattamento dei dati personali in modo tale che i  dati personali non possano più essere attribuiti a un interessato specifico senza  l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive  siano conservate separatamente e soggette a misure tecniche e organizzative  intese a garantire che tali dati personali non siano attribuiti a una persona fisica  identificata o identificabile;

«violazione dei dati personali»: la violazione di sicurezza che comporta  accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la  divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o  comunque trattati;

«dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico  relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona  fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine  facciale o i dati dattiloscopici;

Cybersecurity, sicurezza informatica, data protection 18

Le nuove regole europee sulla protezione dei dati IL REGOLAMENTO (UE) 2016/679

Aspetti relativi alla data protection  by-design e by-default

Cybersecurity, sicurezza  

19

informatica, data protection

Data protection by design e

data protection by default

Non sono concetti del tutto nuovi

Art. 3 Codice italiano (d.lgs. 30 giugno 2003, n. 196) Principio di necessità nel trattamento dei dati: « I sistemi informativi e i programmi informatici sono  configurati riducendo al minimo l'utilizzazione di dati  personali e di dati identificativi, in modo da escluderne il  trattamento quando le finalità perseguite nei singoli casi  possono essere realizzate mediante, rispettivamente, dati  anonimi od opportune modalità che permettano di  identificare l'interessato solo in caso di necessità »

Si può considerare antesignano rispetto all’esigenza di  una preventiva organizzazione dei trattamenti in  modo che siano volti al rispetto della privacy,  addirittura talvolta evitando l’uso di dati personali

Cybersecurity, sicurezza informatica, data protection 20

Protezione dei dati personali by design e by default

2010 International Conference of  Data Protection and Privacy  

Commissioners, Jerusalem, IL Resolution on Privacy by Design, 27- 29 October 2010

Cybersecurity, sicurezza informatica, data protection 21

Cybersecurity, sicurezza informatica, data protection

Resolution on Privacy by Design – Jerusalem, 2010

Privacy by Design recognized as an essential  component of fundamental privacy protection

The Foundational Principles

• Proactive not Reactive; Preventative not Remedial • Privacy as the Default

• Privacy Embedded into Design

• Full Functionality: Positive-Sum, not Zero-Sum • End-to-End Lifecycle Protection

• Visibility and Transparency

• Respect for User Privacy

Cybersecurity, sicurezza informatica, data protection 22

Resolution on Privacy by Design – Jerusalem, 2010

Privacy by Design recognized as an essential  component of fundamental privacy protection

The Foundational Principles

• Proactive not Reactive; Preventative not Remedial • Privacy as the Default

• Privacy Embedded into Design

• Full Functionality: Positive-Sum, not Zero-Sum • End-to-End Lifecycle Protection

• Visibility and Transparency

• Respect for User Privacy

Cybersecurity, sicurezza informatica, data protection 23

Le nuove regole della data protection

Il “pacchetto protezione dati” è stato presentato  dalla Commissione il 25 gennaio 2012 e  approvato definitivamente il 27 aprile 2016

Scopo del pacchetto è garantire un quadro  coerente e complessivamente armonizzato in  materia di protezione dei dati personali

Si compone di due diversi strumenti:

un Regolamento volto a disciplinare i trattamenti di dati  personali sia nel settore privato sia nel settore pubblico,  che sostituisce la Direttiva 95/46

una Direttiva indirizzata alla regolamentazione dei  settori di prevenzione, contrasto e repressione dei  crimini, nonché all’esecuzione delle sanzioni penali, che  sostituisce la decisione quadro 977/2008, peraltro non  ancora attuata dall’Italia

Cybersecurity, sicurezza informatica, data protection 24

Protezione dei dati personali

by design e by default nel nuovo  Regolamento UE

Articolo 25

Protezione dei dati fin dalla progettazione e  protezione per impostazione predefinita 

1. Tenendo conto dello stato dell'arte e dei costi di attuazione,  nonché della natura, dell'ambito di applicazione, del contesto e  delle finalità del trattamento, come anche dei rischi aventi  probabilità e gravità diverse per i diritti e le libertà delle persone  fisiche costituiti dal trattamento, sia al momento di determinare i  mezzi del trattamento sia all'atto del trattamento stesso il titolare  del trattamento mette in atto misure tecniche e organizzative  adeguate, quali la pseudonimizzazione, volte ad attuare in modo  efficace i principi di protezione dei dati, quali la minimizzazione, e  a integrare nel trattamento le necessarie garanzie al fine di  soddisfare i requisiti del presente regolamento e tutelare i diritti  degli interessati.

Cybersecurity, sicurezza informatica, data protection 25

Protezione dei dati personali by design e by default

2. Il titolare del trattamento mette in atto misure  tecniche e organizzative adeguate per garantire che  siano trattati, per impostazione predefinita, solo i  dati personali necessari per ogni specifica finalità del  trattamento.

Tale obbligo vale per la quantità dei dati personali  raccolti, la portata del trattamento, il periodo di  conservazione e l'accessibilità.

In particolare, dette misure garantiscono che, per  impostazione predefinita, non siano resi accessibili  dati personali a un numero indefinito di persone  fisiche senza l'intervento della persona fisica.

Cybersecurity, sicurezza informatica, data protection 26

Protezione dei dati personali by design e by default

3. Un meccanismo di certificazione approvato ai  sensi dell'articolo 42 può essere utilizzato  come elemento per dimostrare la conformità ai  requisiti di cui ai paragrafi 1 e 2 del presente  articolo.

Cybersecurity, sicurezza informatica, data protection 27

La sicurezza dei dati personali nel nuovo Regolamento europeo

Articolo 5 (Principi applicabili al trattamento di dati personali)

1. I dati personali sono:

[…]

f) trattati in maniera da garantire un'adeguata sicurezza dei dati  personali, compresa la protezione, mediante misure tecniche e  organizzative adeguate, da trattamenti non autorizzati o illeciti e  dalla perdita, dalla distruzione o dal danno accidentali («integrità e  riservatezza»).

Cybersecurity, sicurezza informatica, data protection 28

La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 30 (Registri delle attività di trattamento)

1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un  registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro  contiene tutte le seguenti informazioni:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del  contitolare del trattamento, del rappresentante del titolare del trattamento e del  responsabile della protezione dei dati;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati,  compresi i destinatari di paesi terzi od organizzazioni internazionali; e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o  un'organizzazione internazionale, compresa l'identificazione del paese terzo o  dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma  dell'articolo 49, la documentazione delle garanzie adeguate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie  di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e  organizzative di cui all'articolo 32, paragrafo 1.

Cybersecurity, sicurezza informatica, data protection 29

La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 30 (Registri delle attività di trattamento)

2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante  tengono un registro di tutte le categorie di attività relative al trattamento  svolte per conto di un titolare del trattamento, contenente:

a) il nome e i dati di contatto del responsabile o dei responsabili del  trattamento, di ogni titolare del trattamento per conto del quale  agisce il responsabile del trattamento, del rappresentante del  titolare del trattamento o del responsabile del trattamento e, ove  applicabile, del responsabile della protezione dei dati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del  trattamento;

c) ove applicabile, i trasferimenti di dati personali verso un paese  terzo o un'organizzazione internazionale, compresa  

l'identificazione del paese terzo o dell'organizzazione  

internazionale e, per i trasferimenti di cui al secondo comma  dell'articolo 49, la documentazione delle garanzie adeguate; d) ove possibile, una descrizione generale delle misure di sicurezza  tecniche e organizzative di cui all'articolo 32, paragrafo 1.

Cybersecurity, sicurezza informatica, data protection 30

La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 30 (Registri delle attività di trattamento)

3. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta,  anche in formato elettronico.

4. Su richiesta, il titolare del trattamento o il responsabile del  trattamento e, ove applicabile, il rappresentante del titolare del  trattamento o del responsabile del trattamento mettono il registro  a disposizione dell'autorità di controllo.

5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese  o organizzazioni con meno di 250 dipendenti, a meno che il  trattamento che esse effettuano possa presentare un rischio per i  diritti e le libertà dell'interessato, il trattamento non sia  occasionale o includa il trattamento di categorie particolari di dati  di cui all'articolo 9, paragrafo 1, o i dati personali relativi a  condanne penali e a reati di cui all'articolo 10.

Cybersecurity, sicurezza informatica, data protection 31

La sicurezza dei dati personali nel nuovo Regolamento europeo

Articolo 32 (Sicurezza del trattamento)  

1. Tenendo conto dello stato dell'arte e dei costi di attuazione,  nonché della natura, dell'oggetto, del contesto e delle finalità del  trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del  trattamento e il responsabile del trattamento mettono in atto  misure tecniche e organizzative adeguate per garantire un livello  di sicurezza adeguato al rischio, che comprendono, tra le altre,  se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza,  l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di  trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e  l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente  l'efficacia delle misure tecniche e organizzative al fine di garantire  la sicurezza del trattamento.

Cybersecurity, sicurezza informatica, data protection 32

La sicurezza dei dati personali nel nuovo Regolamento europeo

Articolo 32 (Sicurezza del trattamento)  

2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in  special modo dei rischi presentati dal trattamento che derivano  in particolare dalla distruzione, dalla perdita, dalla modifica,  dalla divulgazione non autorizzata o dall'accesso, in modo  accidentale o illegale, a dati personali trasmessi, conservati o  comunque trattati.

3. L'adesione a un codice di condotta approvato di cui all'articolo 40  o a un meccanismo di certificazione approvato di cui all'articolo  42 può essere utilizzata come elemento per dimostrare la  conformità ai requisiti di cui al paragrafo 1 del presente articolo.

4. Il titolare del trattamento e il responsabile del trattamento fanno  sì che chiunque agisca sotto la loro autorità e abbia accesso a  dati personali non tratti tali dati se non è istruito in tal senso dal  titolare del trattamento, salvo che lo richieda il diritto dell'Unione  o degli Stati membri.

Cybersecurity, sicurezza informatica, data protection 33

La sicurezza dei dati personali nel nuovo Regolamento europeo

Articolo 33 (Notifica di una violazione dei dati personali  all'autorità di controllo)

1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione  all'autorità di controllo competente a norma dell'articolo 55 senza ingiustificato  ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a  meno che sia improbabile che la violazione dei dati personali presenti un rischio per i  diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non  sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

2. Il responsabile del trattamento informa il titolare del trattamento senza ingiustificato  ritardo dopo essere venuto a conoscenza della violazione.

3. La notifica di cui al paragrafo 1 deve almeno:

a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il  numero approssimativo di interessati in questione nonché le categorie e il numero  approssimativo di registrazioni dei dati personali in questione;

b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto  di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze della violazione dei dati personali;

d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento  per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i  possibili effetti negativi.

Cybersecurity, sicurezza informatica, data protection 34

La sicurezza dei dati personali nel nuovo Regolamento europeo

Articolo 33 (Notifica di una violazione dei dati personali  all'autorità di controllo)

4. Qualora e nella misura in cui non sia possibile fornire le  informazioni contestualmente, le informazioni possono essere  fornite in fasi successive senza ulteriore ingiustificato ritardo.

5. Il titolare del trattamento documenta qualsiasi violazione dei  dati personali, comprese le circostanze a essa relative, le sue  conseguenze e i provvedimenti adottati per porvi rimedio. Tale  documentazione consente all'autorità di controllo di verificare il  rispetto del presente articolo.

Cybersecurity, sicurezza informatica, data protection 35

La sicurezza dei dati personali nel nuovo Regolamento europeo

Articolo 34 (Comunicazione di una violazione dei dati personali  all'interessato)

1. Quando la violazione dei dati personali è suscettibile di  presentare un rischio elevato per i diritti e le libertà  delle persone fisiche, il titolare del trattamento  

comunica la violazione all'interessato senza  

ingiustificato ritardo.

2. La comunicazione all'interessato di cui al paragrafo 1  del presente articolo descrive con un linguaggio  semplice e chiaro la natura della violazione dei dati  personali e contiene almeno le informazioni e le misure  di cui all'articolo 33, paragrafo 3, lettere b), c) e d).

Cybersecurity, sicurezza informatica, data protection 36

La sicurezza dei dati personali nel nuovo Regolamento europeo

Articolo 34 (Comunicazione di una violazione dei dati personali  all'interessato)

3. Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è  soddisfatta una delle seguenti condizioni:

a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative  adeguate di protezione e tali misure erano state applicate ai dati personali  oggetto della violazione, in particolare quelle destinate a rendere i dati  personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la  cifratura;

b) il titolare del trattamento ha successivamente adottato misure atte a  scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli  interessati di cui al paragrafo 1;

c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede  invece a una comunicazione pubblica o a una misura simile, tramite la quale gli  interessati sono informati con analoga efficacia.

4. Nel caso in cui il titolare del trattamento non abbia ancora comunicato  all'interessato la violazione dei dati personali, l'autorità di controllo può  richiedere, dopo aver valutato la probabilità che la violazione dei dati  personali presenti un rischio elevato, che vi provveda o può decidere che  una delle condizioni di cui al paragrafo 3 è soddisfatta.

Cybersecurity, sicurezza informatica, data protection 37

La sicurezza dei dati personali nel nuovo Regolamento europeo

Articolo 35 (Valutazione d'impatto sulla protezione dei dati) 1. Quando un tipo di trattamento, allorché prevede in particolare l'uso di  nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità  del trattamento, può presentare un rischio elevato per i diritti e le libertà  delle persone fisiche, il titolare del trattamento effettua, prima di  procedere al trattamento, una valutazione dell'impatto dei trattamenti  previsti sulla protezione dei dati personali. Una singola valutazione può  esaminare un insieme di trattamenti simili che presentano rischi elevati  analoghi.

2. Il titolare del trattamento, allorquando svolge una valutazione d'impatto  sulla protezione dei dati, si consulta con il responsabile della protezione  dei dati, qualora ne sia designato uno.

3. La valutazione d'impatto sulla protezione dei dati di cui al paragrafo 1 è  richiesta in particolare nei casi seguenti:

a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su  un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che  hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;

b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9,  paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10;

c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

38

Cybersecurity, sicurezza informatica, data protection

La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 35 (Valutazione d'impatto sulla protezione dei dati)

4. L'autorità di controllo redige e rende pubblico un elenco delle  tipologie di trattamenti soggetti al requisito di una valutazione  d'impatto sulla protezione dei dati ai sensi del paragrafo 1.  L'autorità di controllo comunica tali elenchi al comitato di cui  all'articolo 68.

5. L'autorità di controllo può inoltre redigere e rendere pubblico un  elenco delle tipologie di trattamenti per le quali non è richiesta  una valutazione d'impatto sulla protezione dei dati. L'autorità di  controllo comunica tali elenchi al comitato.

6. Prima di adottare gli elenchi di cui ai paragrafi 4 e 5, l'autorità di  controllo competente applica il meccanismo di coerenza di cui  all'articolo 63 se tali elenchi comprendono attività di trattamento  finalizzate all'offerta di beni o servizi a interessati o al  monitoraggio del loro comportamento in più Stati membri, o  attività di trattamento che possono incidere significativamente  sulla libera circolazione dei dati personali all'interno dell'Unione.

39

Cybersecurity, sicurezza informatica, data protection

La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 35 (Valutazione d'impatto sulla protezione dei dati)

7. La valutazione contiene almeno:

a) una descrizione sistematica dei trattamenti previsti e delle  finalità del trattamento, compreso, ove applicabile, l'interesse  legittimo perseguito dal titolare del trattamento;

b) una valutazione della necessità e proporzionalità dei  trattamenti in relazione alle finalità;

c) una valutazione dei rischi per i diritti e le libertà degli  interessati di cui al paragrafo 1; e

d) le misure previste per affrontare i rischi, includendo le  garanzie, le misure di sicurezza e i meccanismi per garantire la  protezione dei dati personali e dimostrare la conformità al  presente regolamento, tenuto conto dei diritti e degli interessi  legittimi degli interessati e delle altre persone in questione.

40

Cybersecurity, sicurezza informatica, data protection

La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 35 (Valutazione d'impatto sulla protezione dei dati)

8. Nel valutare l'impatto del trattamento effettuato dai relativi titolari o responsabili è  tenuto in debito conto il rispetto da parte di questi ultimi dei codici di condotta  approvati di cui all'articolo 40, in particolare ai fini di una valutazione d'impatto sulla  protezione dei dati.

9. Se del caso, il titolare del trattamento raccoglie le opinioni degli interessati o dei loro  rappresentanti sul trattamento previsto, fatta salva la tutela degli interessi  commerciali o pubblici o la sicurezza dei trattamenti.

10. Qualora il trattamento effettuato ai sensi dell'articolo 6, paragrafo 1, lettere c) o e),  trovi nel diritto dell'Unione o nel diritto dello Stato membro cui il titolare del  trattamento è soggetto una base giuridica, tale diritto disciplini il trattamento  specifico o l'insieme di trattamenti in questione, e sia già stata effettuata una  valutazione d'impatto sulla protezione dei dati nell'ambito di una valutazione  d'impatto generale nel contesto dell'adozione di tale base giuridica, i paragrafi da 1 a  7 non si applicano, salvo che gli Stati membri ritengano necessario effettuare tale  valutazione prima di procedere alle attività di trattamento.

11. Se necessario, il titolare del trattamento procede a un riesame per valutare se il  trattamento dei dati personali sia effettuato conformemente alla valutazione  d'impatto sulla protezione dei dati almeno quando insorgono variazioni del rischio  rappresentato dalle attività relative al trattamento.

41

Cybersecurity, sicurezza informatica, data protection

La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 36 (Consultazione preventiva)

1. Il titolare del trattamento, prima di procedere al trattamento, consulta  l'autorità di controllo qualora la valutazione d'impatto sulla protezione dei  dati a norma dell'articolo 35 indichi che il trattamento presenterebbe un  rischio elevato in assenza di misure adottate dal titolare del trattamento  per attenuare il rischio.

2. Se ritiene che il trattamento previsto di cui al paragrafo 1 violi il presente  regolamento, in particolare qualora il titolare del trattamento non abbia  identificato o attenuato sufficientemente il rischio, l'autorità di controllo  fornisce, entro un termine di otto settimane dal ricevimento della richiesta  di consultazione, un parere scritto al titolare del trattamento e, ove  applicabile, al responsabile del trattamento e può avvalersi dei poteri di cui  all'articolo 58. Tale periodo può essere prorogato di sei settimane, tenendo  conto della complessità del trattamento previsto. L'autorità di controllo  informa il titolare del trattamento e, ove applicabile, il responsabile del  trattamento di tale proroga, unitamente ai motivi del ritardo, entro un  mese dal ricevimento della richiesta di consultazione. La decorrenza dei  termini può essere sospesa fino all'ottenimento da parte dell'autorità di  controllo delle informazioni richieste ai fini della consultazione.

42

Cybersecurity, sicurezza informatica, data protection

La sicurezza dei dati personali nel nuovo Regolamento europeo Articolo 36 (Consultazione preventiva)

3. Al momento di consultare l'autorità di controllo ai sensi del paragrafo 1, il titolare del  trattamento comunica all'autorità di controllo:

a) ove applicabile, le rispettive responsabilità del titolare del trattamento, dei  contitolari del trattamento e dei responsabili del trattamento, in particolare  relativamente al trattamento nell'ambito di un gruppo imprenditoriale; b) le finalità e i mezzi del trattamento previsto;

c) le misure e le garanzie previste per proteggere i diritti e le libertà degli  interessati a norma del presente regolamento;

d) ove applicabile, i dati di contatto del titolare della protezione dei dati; e) la valutazione d'impatto sulla protezione dei dati di cui all'articolo 35; f) ogni altra informazione richiesta dall'autorità di controllo.

4. Gli Stati membri consultano l'autorità di controllo durante l'elaborazione di una  proposta di atto legislativo che deve essere adottato dai parlamenti nazionali o di  misura regolamentare basata su detto atto legislativo relativamente al trattamento.

5. Nonostante il paragrafo 1, il diritto degli Stati membri può prescrivere che i titolari  del trattamento consultino l'autorità di controllo, e ne ottengano l'autorizzazione  preliminare, in relazione al trattamento da parte di un titolare del trattamento per  l'esecuzione, da parte di questi, di un compito di interesse pubblico, tra cui il  trattamento con riguardo alla protezione sociale e alla sanità pubblica.

43

Cybersecurity, sicurezza informatica, data protection

FINE

44 Cybersecurity, sicurezza  informatica, data protection