Aula Magna stracolma e grande attenzione del pubblico il 17\/1 per il convegno dedicato al GDPR dall’Osservatorio Information Security & Privacy del Polimi. Nella sua introduzione Alessandro Piva (Direttore dell’Osservatorio) ha anticipato alcuni risultati della Ricerca che sar\u00e0 presentata il 2\/2, dalla quale emerge la vastit\u00e0 ed eterogeneit\u00e0 delle minacce, alcune delle quali hanno avuto gli onori della cronaca nel 2016: gli hacker (violazione yahoo ed elezioni USA), l’IOT ed il ransomware. Le principali vulnerabilit\u00e0 derivano sempre dal fattore umano (78% inconsapevolezza e 56% distrazione), messo a dura prova dalla complicazione del contesto tecnologico (47% mobile e 33% BYOD). Come stanno reagendo le aziende? Solo il 9% ha in corso un progetto strutturato, mentre il 46% ha avviato almeno l’analisi dei requirements. Si sta tuttavia assistendo ad una accelerazione nella consapevolezza: se il 50% delle aziende non ha ancora un BDG dedicato, un altro 35% lo avr\u00e0 entro 6 mesi; e se un 45% non prevede cambiamenti organizzativi, un altro 34% lo prevede entro 6 mesi. Fra le azioni previste in testa l’assessment (42%) mentre solo il 22% intende rivedere profondamente la sicurezza informatica e il 12% definir\u00e0 nuovi processi.<\/p>\n
Gabriele Faggioli (Presidente CLUSIT e Direttore Scientifico dell’Osservatorio) ha svolto la funzione di chairman, introducendo ed interrogando i relatori. Nel suo intervento \u00a0ha ripercorso l’evoluzione della Privacy in Italia, da una iniziale applicazione troppo omogenea (senza distinzione per settori o per dimensione), che ha creato repulsione, attraverso il passo avanti costituito dal Codice vigente (che ha introdotto la visione settoriale) sino al periodo successivo al 2011 che ha visto due tendenze contrastanti: una semplificazione generale ed un aggravamento in alcuni settori (banche. telco, sanit\u00e0). Con il GDPR si passa ad una visione sistemica, tanto che si potr\u00e0 arrivare a Certificazioni. In attesa di sapere come si muover\u00e0 il legislatore nazionale (che potr\u00e0 introdurre deroghe e semplificazioni, ad es. per le PMI), \u00e8\u00a0importante ricordare\u00a0che non decadono i Provvedimenti del Garante, gli accordi internazionali e le Decisioni della Commissione UE. Fra le novit\u00e0 introdotte dal GDPR (registro dei trattamenti, DPIA, misure adeguate, entit\u00e0 delle sanzioni, DPO, accountability) assumono particolare rilevanza le Certificazioni (che costituiranno una fortissima leva per i fornitori di servizi It e Cloud) e la responsabilit\u00e0 solidale fra Titolare e Responsabile (che comporter\u00e0 un cambiamento della contrattualistica di outsourcing). Va compreso che l’ottica del Cloud cambia la prospettiva della security: nell’outsourcing tradizionale era il cliente che definiva il livello di sicurezza, alto a piacimento (bastava pagare); nel Cloud \u00e8 il fornitore che definisce il livello di sicurezza standard per tutti, i contratti dovranno adeguarsi.<\/p>\n
Centrato sulla Sicurezza Informatica l’intervento di Alessandro Vallega (Coordinator di Europrivacy), che ne ha seguito le tracce dagli articoli 5, 24, 25 e 28 (che la vedono come un obbligo) ai 34 e 83 (che la presentano come una opportunit\u00e0) ma soprattutto nel 32, che \u00e8 stato sezionato ed analizzato a fondo. Chiarito che per misure “adeguate” si intende adeguate al rischio ed all’evoluzione tecnologica, tenuto conto dei costi di attuazione, per i nostalgici del disciplinare tecnico c’\u00e8 un elenco di misure “tra le altre, se del caso” (ovvero a titolo di esempio) delle quali solo una (la cifratura) \u00e8 una tecnologia, mentre le altre tre (capacit\u00e0 di assicurare… capacit\u00e0 di ripristinare… e procedura per testare…) sono misure organizzative. Ma se il GDPR non prescrive specifiche misure tecnologiche, lasciando al Titolare l’individuazione e adozione di quelle adeguate, cosa dobbiamo aspettarci che chiedano le ispezioni del Garante? Forse chiederanno: la compliance alle best practice di security (es. 27000); come sono gestite l’autenticazione, l’abilitazione granulare, la segregation of duty; se sono rispettati principi quali Need to know, Least privilege, Accountability; se sono previsti encryption e log management. Ad esempio potrebbero verificare che le credenziali presenti su sistemi in cloud siano allineate con l’identity management on premise, ed in particolare che siano cancellate dal cloud le credenziali dei soggetti cessati o che hanno perso i requisiti di accesso ai dati. Come fare a dimostrare l’applicazione delle misure previste? Non basta la dimostrabilit\u00e0 tecnica da parte dell’IT: \u00e8 necessaria una procedura di verifica, in carico all’Audit, che dovr\u00e0 produrre evidenze documentali. Infine, se \u00e8 vero che chi fa IT Security sa bene che ci sono ampi margini di miglioramento, da dove cominciare? Beh, almeno tentando di contrastare le cattive prassi, che sono note (vedi “most common mistakes” nel rapporto CLUSIT)!<\/p>\n
Molto atteso l’intervento del rappresentante dell’Autorit\u00e0 Garante, Antonio Caselli, che ha evidenziato come il GDPR rappresenti un’opportunit\u00e0, richiedendo pi\u00f9 proattivit\u00e0 che si concretizza nell’accountability ed in un approccio risk-based: cos\u00ec la Privacy potr\u00e0 finalmente diventare parte di un processo e cessare di essere qualcosa di posticcio. Grande vantaggio deriver\u00e0 dalla europeizzazione non solo delle regole ma anche dei processi (es. one-stop-shop). Le novit\u00e0 pi\u00f9 rilevanti saranno il DPO (interfaccia verso il mondo esterno ed elemento di garanzia di progettualit\u00e0 all’interno), le certificazioni (ancora tutte da definire) e la nuova visione dell’Interesse\u00a0Legittimo come fondamento del trattamento (valutazione lasciata al Titolare, non pi\u00f9 a terzi). Cosa manca al GDPR per poter essere applicato compiutamente? Essenzialmente l’integrazione legislativa dei soggetti nazionali (ad es. sulle Certificazioni, ma anche sui dati biometrici, genetici e sanitari). Questo passaggio necessario sar\u00e0\u00a0a carico del legislatore;<\/u>\u00a0il Garante vigiler\u00e0 su questo processo e provveder\u00e0 a\u00a0mantenere alcuni valori aggiunti<\/u>\u00a0(es. Codici Deontologici, Regolamenti settoriali e Autorizzazioni Generali come quella sui dati sensibili), per “evitare shock agli operatori”.\u00a0 \u00a0Nel passaggio fondamentale da criteri obbligatori (come le Autorizzazioni preventive) alle Linee Guida, il Garante italiano \u00e8 generalmente contrario ad iniziative nazionali, quindi promuover\u00e0 l’adozione delle LG emesse dal WP29. Caselli ha risposto anche ad alcune domande del pubblico: per le PMI il GDPR non fa riferimenti espliciti e lascia l’iniziativa agli stati membri (sono previste esenzioni e semplificazioni, oltre a Linee Guida nazionali entro l’anno per Codici di condotta e Certificazioni); per la PA il Garante aiuter\u00e0 in termini di formazione\/informazione ad alleviare il pesante onere del DPO obbligatorio. Una battuta finale \u00e8 stata riservata al diritto all’Oblio, che \u00e8 da considerare quasi “solo uno slogan” ovvero un modo per rafforzare il diritto alla cancellazione.<\/p>\n
A chiusura della mattinata ha portato il suo saluto Donatella Sciuto (Professore Ordinario e Vice Rettore del Politecnico), che ha riconosciuto l’importanza della Privacy e della Security per entrambi i settori di attivit\u00e0 dell’Ateneo: la didattica e la ricerca (specialmente in campo sanitario). E’ in corso la valutazione sulla possibilit\u00e0 di fare “learning analytics” esaminando il comportamento degli studenti sui sistemi didattici, al fine di sviluppare un’offerta didattica personalizzata, ma la cautela verso le possibili implicazioni privacy di questa opportunit\u00e0 \u00e8 massima. Il Polimi sta per lanciare un corso di laurea in Cyber Security, disciplina che offre sicure opportunit\u00e0 professionali per i prossimi vent’anni.<\/p>\n
E’ toccato a Raoul Brenna (CEFRIEL) l’ingrato compito di contrastare il torpore post-prandiale con un argomento non semplicissimo: le metodologie di valutazione dei rischi. Per individuare i rischi “likely high” (che comportano oneri aggiuntivi come la DPIA) e distinguerli da quelli “unlikely” si possono utilizzare schemi come quelli gi\u00e0 elaborati in ambiti specifici quali la RFID di dati biometrici o lo Smart Grid. I template di applicazione del risk assessment su queste discipline possono essere utilizzati come modelli ai quali ispirarsi ma rischiano di rivelarsi troppo\u00a0sofisticati e complessi. Per semplificare, \u00e8 consigliabile ridurre le minacce a tre categorie (integrit\u00e0, riservatezza e disponibilit\u00e0) ed utilizzare i controlli di sicurezza della ISO 27001: \u00e8 pi\u00f9 facile trovare elenchi di misure di sicurezza da verificare che elenchi consolidati di vulnerabilit\u00e0, quindi si pu\u00f2 partire dalla presenza\/assenza di misure per individuare le vulnerabilit\u00e0 (assenza di una misura di sicurezza = una vulnerabilit\u00e0).<\/p>\n
Sulla relazione di Sergio Fumagalli (Coordinator di Europrivacy) dedicata alla ricerca di una Data Protection “sostenibile ed efficace” per le PMI (attraverso l’adozione di Codici di condotta e DPO condivisi) riferisco a parte, tale \u00e8 stato l’interesse che ho trovato per l’argomento e per la sua esposizione.<\/p>\n
La relazione conclusiva di Fabio Guasconi (CLUSIT) \u00e8 stata come sempre brillante e interessante, ma come sempre non sono d’accordo su quasi niente di quello che ha detto… In particolare sul primo tema, la Certificazione delle figure professionali della Privacy, alla definizione delle quali lavora da tempo una commissione Uninfo. Stanno per essere resi pubblici (e sottoposti a inchiesta pubblica prima della pubblicazione) i 4 profili e-CF sulla Protezione dei Dati. Il pi\u00f9 atteso \u00e8 ovviamente quello del DPO, che sar\u00e0 un ruolo apicale “allineato esattamente con le caratteristiche e competenze richieste dal GDPR”, al quale si affianca il “Privacy\u00a0Manager”, figura dai compiti operativi. Fin qui tutto benissimo, ma adesso viene il bello: “dato che il GDPR prevede la possibilit\u00e0 di assegnare al DPO, oltre ai compiti minimi prescritti, anche altre funzioni, sar\u00e0 possibile sommare i ruoli di DPO e del Privacy\u00a0Manager\u00a0in una figura mista”… A mio modesto parere si tratta di un tentativo generoso di uscire dalla vexata quaestio “ma il DPO coincide con il Privacy Officer oppure no?!”, rispondendo sia no che s\u00ec, che per\u00f2 \u00e8 destinato a fallire perch\u00e9 si scontra con una precisa limitazione posta esplicitamente dal GDPR: il DPO pu\u00f2 sommarsi ad altre figure aziendali purch\u00e9 non abbiano ruoli operativi, altrimenti scatta il conflitto di interessi. Mi sa che su questo tema continueremo a confrontarci sino all’entrata in vigore del GDPR e forse anche dopo. In ogni caso lo schema si completa con i due ruoli di “Privacy Specialist” (alle dipendenze del Privacy Manager) e “Privacy Audit” (ovviamente indipendente). La speranza di UNI \u00e8 che questo schema “nazionale” unificato possa prendere il posto degli schemi proprietari gi\u00e0 presenti sul mercato. Pi\u00f9 condivisibile la visione sulla Certificazione delle Organizzazioni, istituto previsto dal GDPR per consentire ad aziende ed enti di dimostrare la propria compliance. Gi\u00e0 oggi esistono sul mercato diversi marchi o sigilli anche per la Privacy (es. la “Label CNIL” del Garante francese) ma i numeri delle aziende certificate sono risibili; i marchi non hanno appeal in quanto sono frammentati e non riconosciuti. La speranza che la situazione migliori \u00e8 scarsa per la mancanza di un ente europeo incaricato di gestire questi certificati e per la confusione sulla funzione di accreditamento, assegnata sia ai Garanti che agli Enti di accreditamento (Accredia in Italia). Sono quindi possibili la proliferazione di marchi nazionali\/proprietari, il tentativo di imporre uno schema unico europeo oppure anche l’adozione di una norma internazionale (ISO sta lavorando alla 27552 ma ne avr\u00e0 ancora per un paio d’anni).<\/p>\n
Appuntamento ancora\u00a0in Bovisa\u00a0il 2\/2 per la presentazione della Ricerca 2016 dell’Osservatorio<\/a>.<\/p>","protected":false},"excerpt":{"rendered":" Aula Magna stracolma e grande attenzione del pubblico il 17\/1 per il convegno dedicato al GDPR dall’Osservatorio Information Security & Privacy del Polimi. Nella sua introduzione Alessandro Piva (Direttore dell’Osservatorio) ha anticipato alcuni risultati della Ricerca che sar\u00e0 presentata il 2\/2, dalla quale emerge la vastit\u00e0 ed eterogeneit\u00e0 delle minacce, alcune delle quali hanno avuto\u2026 Leggi tutto »<\/a><\/span><\/p>\n","protected":false},"author":64,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[233,4,5,2,3],"tags":[9,269,10,60,25,36,127,285,24,11,46,23],"class_list":["post-2257","post","type-post","status-publish","format-standard","hentry","category-codes-of-conduct-and-certification","category-data-protection-officer","category-impact-risk-and-measures","category-legal-framework","category-roles-and-liabilities","tag-data-protection-officer","tag-dpa","tag-dpo","tag-gdpr","tag-impact-assessment","tag-national-legislations","tag-pia","tag-polimi","tag-privacy-impact-assessment","tag-professional","tag-right-to-be-forgotten","tag-risk-assessment"],"_links":{"self":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2257","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/users\/64"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/comments?post=2257"}],"version-history":[{"count":7,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2257\/revisions"}],"predecessor-version":[{"id":2313,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/posts\/2257\/revisions\/2313"}],"wp:attachment":[{"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/media?parent=2257"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/categories?post=2257"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.europrivacy.info\/it\/wp-json\/wp\/v2\/tags?post=2257"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}