GDPR 2018 Piergiorgio Venuti

GDPR: che cosa c’e’ di nuovo e cosa c’e’ di vecchio

GDPR 2018: che cosa c’e’ di nuovo e cosa c’e’ di vecchio.

Nel mio lavoro di professionista della privacy  ho avuto a che fare con aziende e pubbliche amministrazioni che  – chi con più impegno e sforzo, chi con meno – hanno provato ad adeguarsi alle normative cosiddette “privacy” che si sono succedute negli ultimi vent’anni.  Ma quando mi è capitato di incontrare queste aziende dopo un po’ di tempo, ho scoperto che tutti quegli sforzi – grandi o piccoli che fossero – non hanno avuto alcun seguito: è stato costruito un magnifico castello al quale però non è stata fatta alcuna manutenzione, e quel castello è caduto a pezzi, in qualche caso non esiste più e molti non sanno se sia mai esistito.

Ecco che allora, quando penso al GDPR e a tutti quelli che si preoccupano delle novità che questo introduce e degli investimenti che occorrerà fare per adeguarsi, insomma quando i miei clienti  mi chiedono quanto questo nuovo castello costerà loro, mi viene da dire che piuttosto che pensare a quanto occorrerà investire per costruire il castello (nuovi software, nuove tecnologie) sarà più importante pensare al dopo, a come organizzare e manutenere  i propri processi, a come tenere aggiornate le proprie persone, a come verificare, monitorare che i dati siano trattati nel rispetto dei principi, che l’efficacia delle misure di sicurezza sia sempre adeguata in rapporto all’evoluzione delle minacce e ai nuovi trattamenti che le aziende mettono in atto.

Sì, perché nel GDPR c’è poco di nuovo quanto a prescrizioni (il GDPR non ha poi tanto carattere prescrittivo), c’è invece moltissimo di nuovo quanto a principi e a responsabilità.

Uno dei principi chiave del GDPR 2018 è infatti quello di accountability, di responsabilizzazione.

E’ il Titolare, infatti,  che è responsabile di qualunque decisione in merito alle misure adeguate da predisporre, e le misure le stabilisce in base ai risultati dell’analisi dei rischi (e quest’ultima non è una novità, ricordate il DPSS la cui obbligatorietà era stata cancellata nel nostro ordinamento?). E l’analisi dei rischi va fatta sui trattamenti, occorre redigere un Registro dei Trattamenti (Il DPSS prevedeva un censimento dei trattamenti, anche qui nulla di nuovo…).

Ma le misure di sicurezza, i processi di trattamento, non sono qualcosa di statico. Inoltre può accadere che non tutta l’organizzazione sia costante nell’applicare i principi e le misure nella pratica quotidiana.

Ecco che allora il GDPR richiede che l’efficacia delle misure venga monitorata, che l’applicazione dei principi venga verificata: questo ha un solo nome, che nella versione italiana del GDPR è stato tradotto in maniera improvvida  in tre modi differenti. Questo nome è AUDIT: ecco quello che bisogna continuare a fare.

E molta attenzione occorre anche fare quando si progettano nuove misure, nuovi trattamenti: occorrerà rispettare i principi cardine del privacy by design e privacy by default.

E per i trattamenti più rischiosi (quelli che vengono operati su dati rischiosi per la libertà e dignità degli interessati, i dati sanitari, i dati biometrici, i dati genetici…) occorre provvedere a una Valutazione d’Impatto ancor prima di iniziare il trattamento. La legislazione attuale prevede una notifica al Garante, un atto il più delle volte solamente burocratico: il GDPR chiede qualcosa di più complicato, che va ad intersecarsi con il principio di responsabilizzazione (accountability): è sempre il Titolare che è responsabile di effettuare una valutazione d’impatto e decidere le misure.

In conclusione,  nel GDPR 2018 c’è molto di vecchio, di già presente nella normativa attuale, anche se in taluni casi un po’ nascosto tra le righe, ma spesso meno nascosto nei provvedimenti del Garante. La vera novità, come abbiamo potuto vedere, sta nella responsabilizzazione, nella necessità – anzi nell’obbligo – di fare manutenzione, ed è proprio lì che vanno anche ad inserirsi le nuove (quelle sì!) e molto più pesanti sanzioni.

Paolo Raimondi,  Privacy Officer e Consulente della Privacy

 

GDPR 2018

 

Link utili

Nuovo regolamento privacy

GDPR

[btnsx id=”2929″]

 

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS Dark Reading

RSS Full Disclosure

  • Trovent Security Advisory 2203-01 / Micro Focus GroupWise transmits session ID in URL Gennaio 31, 2023
    Posted by Stefan Pietsch on Jan 30# Trovent Security Advisory 2203-01 # ##################################### Micro Focus GroupWise transmits session ID in URL ################################################# Overview ######## Advisory ID: TRSA-2203-01 Advisory version: 1.0 Advisory status: Public Advisory URL: https://trovent.io/security-advisory-2203-01 Affected product: Micro Focus GroupWise Affected version: prior to 18.4.2 Vendor: Micro Focus, https://www.microfocus.com...
  • APPLE-SA-2023-01-24-1 tvOS 16.3 Gennaio 27, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 26APPLE-SA-2023-01-24-1 tvOS 16.3 tvOS 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213601. AppleMobileFileIntegrity Available for: Apple TV 4K (all models) and Apple TV HD Impact: An app may be able to access user-sensitive data Description: This issue was addressed […]
  • [SYSS-2022-047] Razer Synapse - Local Privilege Escalation Gennaio 27, 2023
    Posted by Oliver Schwarz via Fulldisclosure on Jan 26Advisory ID: SYSS-2022-047 Product: Razer Synapse Manufacturer: Razer Inc. Affected Version(s): Versions before 3.7.0830.081906 Tested Version(s): 3.7.0731.072516 Vulnerability Type: Improper Certificate Validation (CWE-295) Risk Level: High Solution Status: Open Manufacturer Notification: 2022-08-02 Solution Date: 2022-09-06 Public Disclosure:...
  • [RT-SA-2022-002] Skyhigh Security Secure Web Gateway: Cross-Site Scripting in Single Sign-On Plugin Gennaio 26, 2023
    Posted by RedTeam Pentesting GmbH on Jan 26RedTeam Pentesting identified a vulnerability which allows attackers to craft URLs to any third-party website that result in arbitrary content to be injected into the response when accessed through the Secure Web Gateway. While it is possible to inject arbitrary content types, the primary risk arises from JavaScript […]
  • t2'23: Call For Papers 2023 (Helsinki, Finland) Gennaio 24, 2023
    Posted by Tomi Tuominen via Fulldisclosure on Jan 23Call For Papers 2023 Tired of your bosses suspecting conference trips to exotic locations being just a ploy to partake in Security Vacation Club? Prove them wrong by coming to Helsinki, Finland on May 4-5 2023! Guaranteed lack of sunburn, good potential for rain or slush. In […]
  • Re: HNS-2022-01 - HN Security Advisory - Multiple vulnerabilities in Solaris dtprintinfo and libXm/libXpm Gennaio 24, 2023
    Posted by Marco Ivaldi on Jan 23Hello again, Just a quick update. Mitre has assigned the following additional CVE IDs: * CVE-2023-24039 - Stack-based buffer overflow in libXm ParseColors * CVE-2023-24040 - Printer name injection and heap memory disclosure We have updated the advisory accordingly: https://github.com/hnsecurity/vulns/blob/main/HNS-2022-01-dtprintinfo.txt Regards, Marco
  • APPLE-SA-2023-01-23-8 Safari 16.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-8 Safari 16.3 Safari 16.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213600. WebKit Available for: macOS Big Sur and macOS Monterey Impact: Processing maliciously crafted web content may lead to arbitrary code execution Description: The issue was addressed with […]
  • APPLE-SA-2023-01-23-7 watchOS 9.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-7 watchOS 9.3 watchOS 9.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213599. AppleMobileFileIntegrity Available for: Apple Watch Series 4 and later Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened […]
  • APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-6 macOS Big Sur 11.7.3 macOS Big Sur 11.7.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213603. AppleMobileFileIntegrity Available for: macOS Big Sur Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling […]
  • APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 Gennaio 24, 2023
    Posted by Apple Product Security via Fulldisclosure on Jan 23APPLE-SA-2023-01-23-5 macOS Monterey 12.6.3 macOS Monterey 12.6.3 addresses the following issues. Information about the security content is also available at https://support.apple.com/HT213604. AppleMobileFileIntegrity Available for: macOS Monterey Impact: An app may be able to access user-sensitive data Description: This issue was addressed by enabling hardened runtime. CVE-2023-23499: […]

Customers

Newsletter