🔊 Listen to this

GDPR, quasi la totalità dei nostri clienti, informati sugli obblighi dei nuovi adempimenti in materia di sicurezza dei dati personali, ci chiede?, e se non mi adeguo?.

Agenda Digitale, nella figura di Fabio Di Resta, risponde per noi, con uno splendito articolo che riportiamo per comodità di seguito, ma prima oltre che ringraziare il Dr. Di Resta, continuerei ad elencare i suoi titoli e le sue competenze: DPO in ambito Ospedaliero e sanitario, avvocato, LL.M., presidente del EPCE, titolare dello studio Di Resta Lawyers, docente al Corso di Alta Formazione in Antiriciclaggio, Univ. Sapienza di Roma.

MBLI S.a.s. di Marchese Daniele Rosario ha dapoco un “CONSULTING PRIVACY TEAM”, e si presenta al mercato offrendo servizi globali in materia di privacy di alto livello, grazie all’elevata competenza professionale dei suoi membri.

MBLI S.a.s. di Marchese Daniele Rosario è capace di:

• ampliare ed arricchire il background professionale di ciascun Cliente;
• facilitare un confronto diretto sulle tematiche del momento;
• approntare forme di gestione e di verifica attente e condivise, capaci di generare forme di controllo in grado di offrire un servizio di alta qualità;
• condividere le esperienze imprenditoriali, legali ed informatiche specialistiche facenti parte del patrimonio professionale di ciascun membro;
• collaborare con organizzazioni complesse ed articolate, alle quali offrire un servizio di consulenza privacy multidisciplinare che solo l’incontro di diverse professionalità può offrire;
• sviluppare un rapporto di amicizia, rispetto e fiducia tra i suoi membri e con la Clientela;
• consentire alla Clientela di scegliersi il miglior Privacy Consulting Group solo dopo aver giudicato le competenze professionali necessarie ed idonee alle proprie esigenze.

La divisione Consulting della MBLI S.a.s. dispone delle necessarie referenze per operare con vera professionalità, referenze che rispecchiano le pluriennali esperienze dei suoi costitutori e che sono certificate da Enti preposti.

Offriamo a supporto uno staff di prim’ordine negli ambiti dell’organizzazione aziendale, legale, informatica.

Lo Staff è già pronto e qualificato per assumere il ruolo di PRIVACY OFFICER o DATA PROTECTION OFFICER. Ruolo che peraltro sta già svolgendo in diverse strutture aziendali private.

1. COMPETENZE ED ESPERIENZE SPECIFICHE

La divisione Consulting Privacy ha competenze ed esperienze dirette e specializzate nei seguenti settori.

IMPRESA

• Aziende individuali (commerciali, artigiane, consulenziali, etc.);
• Agenzie viaggi;
• Impiantistica (specializzata e non);
• Settore Produzione di mezzi agricoli e movimento terra;
• Settore Edile (produzione e progettazione);
• Settore Metalmeccanico (produzione e progettazione);
• Settore Produzione di mezzi agricoli e movimento terra;
• Settore della grande distribuzione;

SERVIZI

• Associazioni di categoria;
• Associazioni ed enti assistenziali e di volontariato;
• Associazioni ed Enti sportivi;
• Studi commercialistici;
• Studi di consulenza fiscale ed amministrativa;
• Studi di consulenza del lavoro;
• Software house ed aziende informatiche;
• Web agency;
• Studi di marketing;
• Studi pubblicitari;
• Agenzie assicurative;
• Studi Tecnico Professionali;
• Teatri ed agenzie di spettacolo;

SANITA’

• Distribuzione di farmaci
• Studi di medici di famiglia
• Studi dentistici
• Studi oculistici
• Studi ginecologici

ENTI E PUBBLICA AMMINISTRAZIONE

• Enti pubblici e Comuni
• Associazioni culturali

ISTRUZIONE

• Istruzione Privata (di ogni ordine e grado)
• Pubblica Istruzione (Istituti Comprensivi e Scuole Superiori)

SETTORI SPECIALI

• Call Center e Telemarketing
• Videosorveglianza
• Geosatellizzazione
• Droni e apparecchiature speciali
• Specializzazione particolare in gruppi d’aziende e internazionalizzazione d’impresa (Paesi in white/black list Privacy)
• Fotografi

2. NOTA INFORMATIVA

Benché con il Decreto 5/2012 sia stata abolita la redazione del DPS (Documento Programmatico per la Sicurezza), unico documento riepilogativo di tutti gli adempimenti obbligatori posti in capo ai soggetti che trattano dati personali di terzi, sono ancora in vigore molteplici obblighi e sanzioni che di seguito, a titolo riepilogativo e non esaustivo, riportiamo:
Riepilogo dei principali obblighi:

• L’obbligo di aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici (art.34 del Codice, lettera D e art.35 lett. A)
• L’obbligo di individuare i soggetti coinvolti nel trattamento (incaricati, responsabili, amministratori di sistema etc. artt. 29 e 30 del codice e punto 15 dell'allegato B)
• L’obbligo d’individure, incaricare e valutare periodicamente quelle figure che si occumano del nostro Sistema Informatico (Provvedimento del Garante del 27 novembre 2008)
• L’obbligo di redigere un’analisi dei rischi (art. 31 del codice) ed istruire gli incaricati su di essi;
• L’obbligo di istruire gli incaricati sulle procedure di autenticazione informatica e di gestione delle credenziali di autenticazione (allegato B dal punto 1 al punto 11)
• L’obbligo di istruire gli incaricati sul sistema di autorizzazione (allegato B dal punto 12 al punto 14)
• L’obbligo di proteggere gli strumenti elettronici ed i dati rispetto a trattamenti illeciti, accessi non consentiti, programmi maligni e conseguente istruzione del personale. (allegato B punti 16 e 17)
• L’obbligo di procedure di ripristino di dati personali in tempi brevi (allegato B punto 18)
• L’obbligo di stabilire delle misure minime di sicurezza in caso di trattamento di dati sensibili su supporti rimovibili (allegato B dal punto 21 al 23)
• L’obbligo di impartire istruzioni agli incaricati anche per i trattamenti su supporto cartaceo (allegato B punto 27)
• L’obbligo di stabilire delle procedure di custodia durante il trattamento (allegato B punto 28)
• L’obbligo di stabilire delle procedure per l’accesso identificato e restrittivo agli atti (allegato B punto 29)
• L’obbligo d’informare tutti i soggetti interessati sulle modalità di trattamento dei dati personali (soprattutto se riferiti a persone fisiche e/o dati sensibili o giudiziari), come previsto dall’art. 13 del Codice.

Obbligo d’adeguamento delle procedure aziendali ai pronuciamenti del Garante in materia di tutela dei lavoratori, L. 300/70 (Statuto dei lavoratori), Videosorveglianza, Posta Elettronica,
Navigazione Internet, Immagini e Video, News e Newsletter, Siti web, etc. E normative specifiche ad essi connesse.
Naturalmente il quadro degli obblighi non è disgiunto da quello sanzionatorio. Oltre alle ispezioni specifiche, oggi operate non solo dalla Guardia di Finanza ma anche da Polizia di Stato,
Carabinieri, Vigili Urbani, etc., le sanzioni amministrative sono esemplificabili come segue:
Quadro delle sanzioni in vigore al 2015:

• Art. 161: Omessa o inidonea informativa all’interessato ex art. 13 DLgs 196/03 - Da 6.000 a 36.000 euro
• Art. 162 c.1: Cessione di dati o conservazione oltre il limite di trattamento - Da 10.000 a 60.000 euro
• Art. 162 c.2 -ter: Inosservanza delle prescrizioni del Garante - Da 30.000 a 180.000 euro
• Art. 163: Omessa o incompleta notificazione - Da 20.000 a 120.000 euro
• Art. 164: Omessa informazione o esibizione al Garante - Da 10.000 a 60.000 euro
• Art. 167 c.1: Trattamento di dati personali senza consenso - Reclusione da 6 a 18 mesi
• Art. 167 c.1: Obbligo di predisposizione di istruzioni agli incaricati - Reclusione da 6 a 24 mesi
• Art. 167 c.2: Obbligo di separazione dei dati sensibili - Reclusione da 24 a 36 mesi
• Art. 169: Omissione delle Misure Minime di sicurezza - Arresto fino a due anni

3. LA NOSTRA ATTIVITA’:

L’attività prevede:

Una sessione o più sessioni di auditing interno, preliminari a qualsiasi attività, al fine di raccogliere informazioni sullo stato legale ed organizzativo dell’Azienda o dello Studio rispetto al Dlgs 196/03. In queste sessioni si procederà all’analisi dettagliata della documentazione esistente ed una ricostruzione di massima dei flussi di dati.

Le sessioni termineranno con una prima, breve, relazione sullo stato dell’applicazione della normativa in azienda e le aree di miglioramento/intervento, secondo l’ottica richiesta specificatamente alla nostra struttura.
Una sessione o più sessioni per la raccolta di tutti i dati necessari ed una analisi, insieme ad un Vostro incaricato, dei profili legislativi, dei soggetti coinvolti, delle banche dati, dei rischi connessi e del sistema informatico. Il disegno di dettaglio dei flussi di dati personali, cartacei/informatici, in essere all’interno della struttura, da/verso i Clienti e i soggetti coinvolti nell’attività sanitaria.
Stampa dei documenti e consegna degli stessi presso la Vostra sede, con contestuale istruzione della persona Responsabile nell’impiego degli stessi.
Assistenza all’implementazione organizzativa dei documenti predisposti e formazione del Vostro Personale;
Pianificazione di una verifica interna a distanza di alcuni mesi dalla consegna del documento mirante alla valutazione dello stato dell’implementazione di quanto predisposto all’interno dell’organizzazione.

DETTAGLIO ESEMPLIFICATIVO DELLE ATTIVITA’ DOCUMENTALI:

1 – Redazione del Documento Riepilogativo del Sistema Privacy (DRSP) articolato, generalmente, nei seguenti punti:

• Analisi ed individuazione dei trattamenti operati, descrizione sintetica, natura dei dati, struttura di riferimento ed eventuali altre strutture esterne che hanno accesso ai dati;
• Elenco dei trattamenti con descrizione degli strumenti informatici utilizzati, individuazione delle banche dati, descrizione del supporto su cui risiedono, individuazione della tipologia dei dispositivi di accesso e tipologia di interconnessione;
• Analisi delle strutture preposte al trattamento dei dati, individuazione delle stesse e del responsabile, elencazione dei trattamenti operati per ogni struttura e descrizione sintetica dei compiti della struttura;
• Analisi rischi legati al comportamento del personale, con definizione del livello di gravità stimata (rischi principali presi in considerazione: Furto di credenziali, Carenza di consapevolezza, Comportamenti sleali, Errori materiali, etc);
• Analisi rischi legati agli strumenti, con definizione del livello di gravità stimata (Azione Virus o codici malefici, Spamming o altre tecniche di sabotaggio, Malfunzionamento o degrado degli strumenti, Accessi non autorizzati, Intrusioni informatiche, Intercettazioni dati trasmessi viarete, etc);
• Analisi rischi dovuti ad eventi legati al contesto, con definizione del livello di gravità stimata (Accessi non autorizzati ai locali, Furto di strumenti, Eventi distruttivi dolosi o accidentali, Guasto a sistemi complementari, errori umani nella gestione della sicurezza);
• Elenco delle misure di sicurezza adottate o da adottare, descrizione con definizione dei trattamenti dati interessati ed indicazione delle misure di sicurezza già adottate o da adottare (i principali: formazione dipendenti, antivirus, controlli su pc, controlli locali e strutture, firewall, protezione e-mail e rubriche telefoniche, impianti e verifiche installazioni, cambio password, controlli sul server centrale, analisi sistemi raid, analisi sistemi ups, protezione trasmissioni dati tra varie sedi);
• Analisi su criteri e sulle modalità di salvataggio e di ripristino dei dati, indicazione per ogni banca dati degli strumenti usati, della procedura utilizzata, della frequenza del backup, della ubicazione di conservazione delle copie, degli incaricati al backup e delle procedure di ripristino nonché quelle di test;
• Analisi soggetti esterni che effettuano trattamenti dati, individuazione della attività esternalizzata, del tipo di dati interessati, del soggetto e descrizione dei criteri adottati perl’adozione delle misure di legge;

Inventario Hardware e Software, con individuazione degli strumenti informatici utilizzati, dei principali software e database, in rapporto a quanto previsto dal Dlgs 196/03

• Individuazione degli Amministratori di Sistema interni e/o esterni;
• Individuazione del Titolare dei dati, e dell’eventuale Responsabile se da nominare;
• Descrizione della struttura aziendale con riferimento ai trattamenti dati;
• Amministratori di Sistema: documentazione e misure tecniche;

2 – Documento riservato contenente indicazioni in merito a:

• Individuazione delle misure minime di sicurezza da adottare per la protezione dei dati nel caso quelle adottate siano insufficienti (supporto informatico e cartaceo);
• Individuazione e proposta degli adeguamenti hardware e software necessari per la corretta protezione delle banche dati ed il coretto espletamento dei trattamenti operati in azienda;
• Individuazione delle adeguate procedure di backup dei dati ed indicazioni sulle metodiche relative alla conservazione in sicurezza delle copie;
• Analisi ed individuazione delle corrette procedure di autenticazione e di screen saver;
• Definizione della misura di registrazione e conservazione file di log;

3 – La consulenza si completa con la produzione delle seguenti aree documentali aziendali personalizzate:

• Nomina del responsabile trattamento dati;
• Informativa per dipendenti e collaboratori;
• Lettere di incarico per dipendenti e collaboratori;
• Nomina custode parole chiave;
• Nomina degli Amministratori di Sistema, interni ed esterni;
• Nomina Responsabili di Trattamento in Outsourcing;
• Informativa per clienti/fornitori;
• Informativa ridotta pubblicabile in calce alla fattura;
• Richiesta attestazione a società terze;
• Amministratori di Sistema;

4 – Codici di accesso all'applicativo WEB che permette l'accesso a tutti i files relativi alla modulistica come da elenco di seguito (l’elenco non è esaustivo di tutta la documentazione consegnata):

• Nomina del responsabile del trattamento;
• Nomina incaricati al trattamento dati;
• Informativa per trattamento di dati;
• Informativa ridotta;
• Informativa da far sottoscrivere a ciascun dipendente o collaboratore;
• Identificazione dei soggetti che possono essere ammessi agli archivi dopo l’orario di chiusura;
• Nomina dell’incaricato della manutenzione del sistema;
• Nomina del custode delle parole chiave;
• Cartello videosorveglianza;
• Fac simile di Copertina e-mail;
• Fac simile di Copertina Fax;
• Altra documentazione aziendale personalizzata;
• Testo integrale della legge 196/03;

5. DAL 2015: IL NUOVO REGOLAMENTO EUROPEO PER LA PRIVACY

Le norme attualmente in vigore in materia di privacy (95/46/EC) risalgono al 1995 e sono state recepite dal legislatore italiano nel 1996 (L.675/96) e successivamente modificate nel 2003 (D.Lgs. 196/03).
In questo periodo la Commissione Europea solleverà, dopo 2 anni di lavoro, il velo sulle nuove regole di tutela dei dati personali, affidate a un regolamento e a una direttiva. Il regolamento che andrà a sostituire la direttiva del 1995 non dovrà essere recepito dai singoli stati membri, ma sarà pienamente operativo dal momento in cui verrà approvato dal Parlamento Europeo e dal Consiglio. La direttiva sulla protezione dei dati personali avrà per oggetto le finalità di prevenzione e investigazione in caso di reati penali. Sull'apparato sanzionatorio interverrnno successivamente i singoli Paesi.

Si tratta, dunque, più di una semplice revisione alla normativa in vigore: oltre alla revisione delle norme attuali alla luce dell'esperienza maturata nell'ultimo quindicennio, si è tenuto conto delle indicazioni del trattato di Lisbona, che ha allargato il diritto alla privacy dal primo pilastro, che riguarda la libertà di circolazione delle persone, al secondo e soprattutto al terzo pilastro, relativi rispettivamente alla politica estera e alla sicurezza pubblica.

La bozza del regolamento punta anche a stabilire un quadro legislativo comune per il mercato unico europeo, limitando le difficoltà a cui un'impresa, che opera a livello transnazionale, deve fare fronte: normative differenti e disparate decisioni prese dalle authority nazionali. Ciò non esclude, tuttavia che le autorità o i legislatori nazionali possano prendere decisioni valide per i singoli stati membri.

Cosa prevederà il nuovo Regolamento:

• Per ogni questione legata alla protezione della privacy, le imprese e i cittadini dovranno interfacciarsi con un unico punto di contatto, il "one-­-stop-­-shop". Per implementare questo sistema ed esercitare il nuovo ruolo, le autorità nazionali saranno dotate di poteri e risorse;
  inoltre sarà rafforzato il coordinamento tra le authorities nazionali per verificare il rispetto della legge.
• Le nuove norme interesseranno tutti quei soggetti che sono chiamati a trattare i dati su clienti e personale interno e a mantenere un database.
• All’art. 5 lett. f) viene sancito il principio dell’accountability dei titolari del trattamento (poi meglio specificato nell’art. 22) in virtù del quale spetta agli stessi un obbligo generalizzato e preventivo di garantire e dimostrare la propria conformità al Regolamento in relazione ad ogni singolo trattamento operato (si tratta di una sorta di clausola generale volta a responsabilizzare i controller sin dalle fasi embrionali dei processi informativi).
• Imprese ed enti pubblici dovranno introdurre la figura del data protection officer (o privacy officer = Responsabile del Trattamento dei dati personali aziendali) a cui affidare le policy in materia di protezione dei dati: in campo pubblico la nuova struttura sarà sempre obbligatoria, mentre le aziende private se ne dovranno dotare nel caso trattino un certo numero di contatti.
• Sarà richiesto alle aziende di ottenere "specifici e espliciti" forme di consenso dagli utenti nelle operazioni di archivio dei dati. L’art. 6 lett. a) introduce uno degli istituti fondanti la presente disciplina, ovvero il diritto dell’utente di esprimere in maniera preventiva il consenso al trattamento delle proprie informazioni, principio necessario ed inderogabile al fine di limitare e contenere il più possibile fenomeni di massa quali il direct profiling e il tracking cookies (si renderà necessaria, presumibilmente, l’adozione di idonei filtri pop-up volti a saggiare la previa approvazione del soggetto interessato). Il Titolare, inoltre, sarà gravato dall’onere di fornire la prova del consenso di quello specifico trattamento autorizzato (art. 7, comma 1), il quale tra l’altro potrà sempre essere revocato dal soggetto cui i dati si riferiscono. Si codifica, in tal senso, il principio dell’inversione dell’onere probatorio circa la liceità del trattamento (mutuando l’attuale impostazione derivante dal combinato disposto degli art. 2050 c.c e 15 D.Lgs. 196/2003). Alla regola del consenso si affianca, poi, quella sulla trasparenza dell’informazione da fornire all’interessato (art. 11), la quale dovrà contraddistinguersi anche per facilità di consultazione e intellegibilità di forma (l’onere dell’informativa all’interessato, invece, è codificato nell’art. 14, il quale sostanzialmente riproduce il nostro ormai conosciutissimo art. 13 D.Lgs. 196/2003).
• Sarà previsto un obbligo di adottare misure tecnologiche (privacy by design) che riducano di default il trattamento dei dati personali al minimo necessario anche riguardo al periodo massimo di conservazione e ai soggetti che possono avere accesso ai dati. Questò avrà un forte Impatto nello sviluppo di software destinati al trattamento dei dati (CRM, ERP, gestionali ecc.) e sul rinnovamento di tutto il parco informatico delle imprese e studi professionali.
• Sarà sancito l’obbligo di conservare documenti contenenti una serie di informazioni volte a descrivere le operazioni di trattamento di dati personali gestite tanto dal titolare quanto dati responsabili del trattamento (qualcosa di simile all'attuale DRSP, ma di portata ancora più ampia).
• Per le imprese sarà più facile trasferire i dati all'estero facendo leva sulle proprie regole interne.
• Diventerà obbligatorio notificare eventuali perdite di informazioni (cosiddette serious breaches).
• Sarà posta particolare attenzione al trattamento dei dati personali che circolano sul web:
  • diritto all'oblio, cioè la possibilità di non trattenere vita natural durante le informazioni nella memoria della rete, ma di poterle cancellare, soprattutto quando diventate obsolete;
  • l'uso dei cookies (i "biscottini" che molti siti utilizzano per capire le preferenze dei loro utenti);
  • l'ingresso e l'uscita dai social network con la codificazione della portabilità del profilo ("data portability") da parte di chi si sposta;
  • la definitiva affermazione che l'indirizzo IP è un dato personale;
• Infine prevederà l’eliminazione dell’obbligo per il Titolare di notificare i propri trattamenti all’Autorità Garante (sarà sufficiente , infatti, la conservazione della documentazione comprovante le modalità del singolo trattamento).

Ulteriore misura è la predisposizione di un regolamento di protezione dei dati al fine di costituire un sistema completo per la gestione della sicurezza nella tecnologia dell’informazione secondo quanto previsto dagli standard ISO/IEC 27001. La norma è coerente con il sistema di gestione della qualità ISO 9001 e grazie al sistema è possibile ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati stessi di accesso non autorizzato o di trattamento non consentito. Si intende così proteggere l’organizzazione dalla commissione dei reati presupposto per la responsabilità amministrativa quali delitti informatici e trattamento illecito di dati ai sensi dell’articolo 24 bis del s. 231/2001.