Il nuovo

Regolamento UE
sulla protezione
dei dati
Le modifiche proposte e le
relative implicazioni per la
vostra azienda

Contenuti
Proposta di regolamento UE sulla protezione dei
dati
Risultati del sondaggio: Atteggiamento dei
cittadini europei verso la protezione dei dati
Come ottemperare al Regolamento e limitare le
sanzioni in caso di violazione
Bloccare le violazioni sul nascere
Sophos vi pu aiutare, ecco come

Regolamento
UE sulla
protezione dei
dati
3

Fonti

Manuale sul
diritto
europeo in
materia
di protezione dei
dati
Consiglio d'Europa
Dicembre 2013

Dossier stampa della Emendamenti del

Progetto di regolamento
Commissione Europea
Commissione EuropeaParlamento europeo
25 gennaio 2012
22 ottobre 2013
21 novembre 2013
(118 pagine)
(623 pagine)

Domande e
risposte sulla
riforma UE
sulla
Protezione dei
dati
Parlamento
europeo
22 ottobre 2013

Obiettivo
Stabilire un'unica legge
paneuropea che sostituisca
l'attuale discontinuit delle
normative nazionali dei singoli
paesi.
Modernizzare i principi custoditi dalla
Direttiva sulla tutela dei dati del 1995
5

I vantaggi del nuovo

Regolamento
I vantaggi per le aziende
1. Un mercato unico europeo, un'unica legge
2. Un referente unico un'unica autorit di vigilanza
3. Le stesse regole per tutte le aziende
I vantaggi per i cittadini europei
4. Maggiore sicurezza dei dati
5. Il controllo in mano ai cittadini

La sicurezza dei dati in

primo piano
I 3 articoli principali sulla sicurezza dei dati:
1. Sicurezza del trattamento (Articolo 30)
a.

b.

prevenire qualsiasi tipo di accesso non autorizzato ai dati

personali
prevenire qualsiasi tipo di divulgazione, lettura, copia, modifica,
eliminazione o rimozione non autorizzate dei dati personali

2. Comunicazione della violazione dei dati

personali all'autorit di vigilanza (Articolo 31)
3. Comunicazione della violazione dei dati
personali al diretto interessato (Articolo 32)
7

Cosa occorre sapere

Le aziende hanno l'obbligo di:

implementare adeguate misure di sicurezza per proteggere i dati personali

utilizzare un criterio di protezione dei dati ben definito
nominare un responsabile della Protezione dei dati(ad eccezione delle
azienda medio-piccole)

Le sanzioni in caso di violazione di dati non protetti possono

raggiungere i 100 milioni di EURO, o il 2-5% del fatturato
annuale.
Se si subisce una violazione e si in grado di dimostrare che i dati
personali sono inaccessibili da personale non autorizzato (ad es. se
erano cifrati):

La probabilit di incorrere in sanzioni dovrebbe risultare notevolmente

ridotta
Non occorrer comunicare la violazione ai diretti interessati

Il processo legislativo
25 gennaio 2012 La bozza di legge viene
presentata per la prima volta dal Commissario
europeo Vivian Reding
Gennaio 2012 ottobre 2013 Ampie discussioni
ed emendamenti al disegno di legge proposto
12 marzo 2014 Il Parlamento europeo vota quasi
unanimemente a favore della legge (95%)

Il Regolamento deve ancora superare altre fasi.

Tuttavia, molti prevedono che entrer in vigore
entro il 2015
9

sondaggio:
Atteggiamento
dei cittadini
europei verso la
protezione dei
dati
10

Chi ha partecipato al sondaggio

1500
1500consumatori/impiegati
consumatori/impiegatiprofessionisti
professionistisuddivisi
suddivisi
uniformemente
uniformementefra
fravarie
variefasce
fasced'et
d'et
Marzo
Marzo2014
2014
Paese

per dimensioni dell'azienda

114
379
500

500

299

337
371
500

UK

France

Germany

5 49 employees

50 99 employees

100 249 employees

250 499 employees

500 - 1000 employees

Figura D1: Analisi del paese dei

partecipanti
Chiesto a tutti i partecipanti
(1500)

Figura D2: Analisi delle dimensioni

dell'azienda
Chieste a tutti i partecipanti
(1500)

11

I risultati pi salienti
Quasi due terzi (il 65%) dei partecipanti temono
per la sicurezza dei propri dati aziendali
Il 49% NON in grado di definire chiaramente i
criteri di sicurezza dei dati della propria
organizzazione
Il 51% dei laptop aziendali cifrato
Solo il 23% protegge sia i dati dei clienti che quelli
dei dipendenti
Occorre agire subito in
maniera significativa per
proteggere i dati
personali e ottemperare
al futuro Regolamento
12

Come garantire
la conformit al
Regolamento
13

La chiave la cifratura
Il Regolamento imporr alle organizzazioni di:

1. Implementare "adeguate misure di sicurezza" per proteggere i dati personali

La cifratura viene generalmente considerata la migliore misura di sicurezza
dei dati disponibile

2. Avvertire i diretti interessati in caso di violazione dei dati personali

Se si in grado di dimostrare che i dati erano cifrati, non vi l'obbligo di
avvisare i diretti interessati

3. Essere sottoposte a sanzioni in caso di violazione dei dati personali

Se i dati erano cifrati, molto probabile che non venga imposta alcuna
sanzione

14

La chiave la cifratura

Ma cosa, dove e quando

cifrare?

15

Dispositivi smarriti o rubati

Non cifrato

Cifrato

I dispositivi accidentalmente smarriti o rubati

sono una situazione comune.
Solamente gli utenti autorizzati devono poter
accedere ai dispositivi.
Quanti dispositivi avete smarrito?
16

Copia dei file sui supporti

rimovibili

Pur essendo piccolissimi, questi dispositivi

possono contenere quantit enormi di dati ed
essere facilmente smarriti.
Vietare o proteggere?
Dove si trova ora e cosa conteneva la vostra
prima chiavetta USB?
17

File allegati alle e-mail

Tutti mandiamo e-mail, e come tutti possiamo

commettere errori (capita)
Quali conseguenze implica l'invio di un allegato
al destinatario sbagliato?
Cifrare i file allegati, o analizzarli a livello di
Gateway?
18

Copia dei file su una

condivisione di rete

I moderni sistemi operativi semplificano

notevolmente la condivisione dei dati in rete.
Protezione contro le minacce interne.
Chi autorizzato ad accedere ai dati
aziendali/degli utenti?
19

Copia dei file in-the-cloud

I servizi di Cloud storage hanno rivoluzionato il modo

in cui i dati vengono condivisi fra utenti e dispositivi.
Che cosa avete salvato nel Cloud, e cosa accadrebbe
se qualcuno se ne appropriasse illecitamente?
Cifrare i dati prima di caricarli nel Cloud.

20

Una strategia di protezione dei dati a

prova di bomba
I dati sono tutto
1. Come avviene il
processo di entrata e
uscita dei dati nella
vostra azienda?
2. Come vengono utilizzati
i dati dagli utenti finali?
3. Chi ha diritto di
accedere ai dati
aziendali?

21

Prevenzione
delle violazioni
22

5 passi per evitare che i dati finiscano

nelle mani sbagliate
1. Mantenere aggiornate le patch
Spesso il malware per il furto di dati sfrutta vulnerabilit gi note.
2. Applicare una protezione a strati multipli sui punti di accesso
Difesa contro vettori di attacco multipli mediante protezione Web, Email e Antimalware a livello di gateway.
3. Utilizzare la Protezione avanzata contro le minacce (ATP)
Scegliere un next-generation firewall che rilevi e blocchi gli attacchi
direttamente sulla rete.
4. Adoperare il Sandboxing selettivo
Per la protezione contro minacce lente o "a scoppio ritardato".
5. Limitare la divulgazione dei dati di natura sensibile
Utilizzare Application Control e Data Control

23

Sophos vi pu
aiutare, ecco
come
24

Le nostre pluripremiate soluzioni di cifratura costituiscono

adeguate misure di
sicurezza per la protezione dei
dati personali

25

SafeGuard Enterprise Encryption

Cifra i dati su dispositivi e sistemi operativi multipli
Non d'impaccio realizzata per adattarsi al
flusso di lavoro e ai processi della vostra azienda
Include la gestione centralizzata di Microsoft
BitLocker e Apple FileVault
Offre numerose opzioni di reportistica, per fornire
prove di conformit alle normative
SafeGuard garantisce la protezione dei dati personali
in caso di violazione

26

SPX Email Encryption

Una soluzione di cifratura delle
e-mail e di DLP che protegge la
privacy, la riservatezza e
l'integrit delle vostre e-mail di
natura sensibile.
Rileva automaticamente le
informazioni sensibili che lasciano
il perimetro di rete aziendale
tramite e-mail, bloccandole o
cifrandole
Solleva i dipendenti dalla
responsabilit di gestire la
sicurezza, occupandosene per
conto loro.
Disponibile in Sophos UTM e
nella Sophos Email Appliance
27

Possiamo aiutarvi a creare un

criterio di protezione dei
dati

28

Esempio di criterio di
protezione dei dati
L'esempio di Sophos pu essere utilizzato come base
per impostare il vostro criterio di protezione dei dati.
Basta personalizzarlo per la vostra azienda.

29

E possiamo aiutarvi a
bloccare sul nascere i
tentativi di violazione

30

Protezione contro hacker e perdita

accidentale
Sophos Endpoint
Protection
Patch Assessment,
per individuare e
attribuire priorit
alle patch mancanti
Application Control
Data Control
Funzionalit
avanzate di
protezione Web

Sophos UTM
Funzionalit di
protezione avanzata
contro le minacce
(ATP)
Sandboxing selettivo
Funzionalit
avanzate di
protezione Web
SPX Email
Encryption
(opzionale)

31

Riepilogo
32

Riepilogo
Questa legge verr SICURAMENTE approvata
Ha

gi compiuto diversi passi avanti, e con ampio favore. Non se

ne consentir la bocciatura.
I sostenitori principali vogliono procedere rapidamente
Commissione europea
Parlamento europeo
Autorit garanti per la protezione dei dati
Singoli governi
Le pressioni dei media sono in aumento
PRISM, furti di dati su larga scala (ad es. Target)
La fiducia dei cittadini nelle attivit on-line in calo
Dovete essere pronti
Implementate adeguate misure di sicurezza per la protezione dei
dati
Create e comunicate il vostro criterio di protezione dei dati
33

Risorse a vostra disposizione

Guide in linea per lapplicazione di policy di Data
Protection
Verifica della conformit alla Normativa UE sulla
sicurezza dei dati - in 60 secondi
Whitepaper sul Regolamento UE sulla protezione
dei dati
Prova gratuita: Sophos SafeGuard Enterprise e
SPX Email Encryption
Tutto disponibile su: www.sophos.it/EU

34

 Sophos Ltd. Tutti i diritti riservati.

35