Computer Lab, azienda con esperienza ventennale in materia di assistenza e sicurezza informatica, si avvale della professionalità dello Studio Legale Gargano per assistere società e professionisti che ancora non si sono messi in regola. Una consulenza mirata, pensata da professionisti del settore, che approfondisce i vari aspetti: informatici e legali, partendo da una visita presso la sede dellazienda per approfondire lanalisi dei rischi.
I due professionisti esperti della materia sono il dottor Andrea Leandro, esperto di IT specializzato in pseudonomizzazione e crittografia, amministratore di sistema, responsabile della privacy e informatica forense. Quello che si può definire un ethical hacker, ossia chi mette a disposizione le proprie competenze tecniche per sconfiggere gli hacker.
Lavvocato Gabriele Gargano, con studio a Monterotondo, è esperto invece delle questioni legali.
Avvocato Gargano, in cosa consiste il nuovo regolamento Ue sulla protezione dei dati personali e cosa cambia per le aziende?
Lintento del regolamento europeo è quello di disciplinare in maniera più seria e concreta le esigenze dei singoli utenti di aver tutelato il proprio diritto ad avere una sorta di segretezza.
A differenza di quanto avveniva nel 2003 in materia di privacy, quando bastava mettere una firma in calce a un modulo prestampato per non incorrere in conseguenze, adesso lItalia si è dovuta adeguare a un regolamento del 2016 su basi precise e severe dettate dallEuropa, sia in ambito applicativo che sanzionatorio per quel che riguarda le palesi violazioni.
Lintento è quello di creare una sorta di copertura non solo normativa, parlando ad esempio del diritto alloblio, ma anche una copertura di natura informatica. Tantè che allutente medio, che può essere una società, una srl o semplicemente un palestra, dovrà adottare determinate precauzioni non solo per la sicurezza dei dati, ma anche per la consultazione degli stessi.
Cosa rischia una società che non si mette in regola e che tipo di servizio offrite?
La sanzione può arrivare fino al 4 per cento del fatturato annuo. Si può tranquillamente ovviare alla sanzione, semplicemente prendendo gli accorgimenti che la nostra società è in grado di fornire. È prevista una prima visita da parte dellesperto informatico, il quale verificherà quali sono le falle del cliente. Verrà redatta una relazione in cui verrà messo nero su bianco riguardo cosa è stato rilevato e cosa non è perfettamente adeguato rispetto alla normativa, oltre a cosa bisognerà fare per renderla totalmente conforme a quanto viene richiesto.
Successivamente verrà prestata una consulenza di natura legale riguardo linformativa privacy da fare firmare ai clienti.
Facciamo un esempio. Se sono il proprietario di una palestra e lo scorso anno ho fatto firmare la normativa privacy a un cliente, prima di farlo avere nuovamente in palestra, devo chiamarlo e fargli firmare il consenso alla nuova normativa. Dopodiché posso farlo entrare.
Se questo cliente passando la sua scheda rende visibili i suoi dati, io in qualità di titolare dei dati del signore, posso incorrere in eventuali sanzioni.
Dottor Andrea Leandro, quali sono gli errori più comuni da evitare per unazienda?
Mi rifaccio a unindicazione del Garante per la privacy che parla di minimizzazione dei dati. Lerrore in cui si può incorrere è per esempio, quello di dare accesso ai dati a chi non è attinente a quel tipo di necessità. Il dipendente deve poter accedere ai dati a lui strettamente necessari per dar luogo allazione che deve fare personalmente. Non tutti devono poter accedere a tutti i dati del cliente, ma solamente a quelli che gli servono. Quindi bisogna esporre il meno possibile i dati del cliente.
Ci sono due dettami di impostazione della normativa che parlano di privacy by design e privacy by default. Il primo ci dice che non esiste più il silenzio assenso. Il secondo sta a significare che se non ci sono indicazioni specifiche a riguardo, bisogna tutelare il più possibile la privacy di una persona, al limite rinunciando ad avere i suoi dati.
Riprendendo lesempio della palestra. Dal punto di vista dellapplicazione informatica della normativa, io non posso tenere i suoi dati. Il cliente può consultarli, aggiornarli o chiedere il diritto alloblio. Ossia può scegliere di non voler più esistere per quellazienda, costringendo a cancellarli. Ci sono 15 giorni di tempo, altrimenti si va sul penale. Lalternativa qual è? Cancellare i dati delle persone.
Altro possibile problema. Se avviene un furto in azienda e i ladri portano via anche i computer con i dati privati delle persone. Cosa si rischia e cosa andrebbe fatto per evitare un possibile furto di dati?
Il concetto di responsabilità è centrale con il nuovo regolamento. Cè una responsabilità diretta sui dati delle persone di cui siamo in possesso e quindi sui dati che eventualmente possono essere sottratti.
Quello che mi si può chiedere è: cosa hai fatto per tutelare i dati dei clienti? Non si può rispondere come dico scherzando: Ho messo la password a Windows o al programma gestionale. Non è una sufficiente protezione. Senza addentrarmi in tematiche troppo tecniche, si usano pseudonomizzazione, criptazione, data masking. Cosa significano queste parole? Che se io rubo un computer e me lo porto a casa e provo ad accedervi, non ci riesco. Perché ho usato dei mezzi informatici per impedire che i dati siano accessibili a chiunque. Una cosa semplice da spiegare è criptare lhard disk, ossia rendere illeggibili in modo ragionevolmente sicuro e no fruibili i dati allinterno.
In questo senso un tema che mi sta particolarmente a cuore è quello dellanalisi dei rischi che si può fare su qualsiasi attività, addirittura su chi non ha il computer ma usa esclusivamente il cartaceo. Non è possibile essere in regola ragionevolmente con la normativa, stendendo solo il documento sulla privacy, ossia la policy aziendale che si può realizzare addirittura a distanza. Essere messi in regola da qualcuno a distanza non lo reputo sufficiente, ma non è la mia idea è la realtà. Bisogna prevedere una relazione perimetrale sia fisica che informatica. Quella fisica potrebbe riguardare un armadio chiuso a norma, ignifugo, cui non abbia accesso chiunque. Dal punto di vista dellinformatica e di internet è un discorso più complesso. Oggi la fibra non ha fatto altro che aumentare il pericolo di un accesso esterno.
Subire un furto di dati via Internet non è più fantascienza e per questo motivo bisogna cautelarsi. Io devo dimostrare, in caso di malaugurato evento di perdita dei dati, di aver avuto tutte le cure possibili per averli protetti.
Ad esempio devo criptare un hard disk, proteggere la rete con un antivirus professionale, mettere un firewall, ossia un apparecchietto che limita di molto le possibilità di accesso dallesterno, perché Internet è una porta di entrata diretta nelle nostre case.
Quindi avere queste cautele non si può certo fare a distanza.
Il nuovo regolamento prevede che in caso di furto bisogna comunicarlo al Garante entro 15 giorni e dobbiamo avvisare anche le persone soggette al furto dei dati personali. La norma specifica che dobbiamo essere in grado di ricostruire il prima possibile larchivio.
Il mio consiglio è che per sentirsi cautelati non solo affidarsi a professionisti, ma accertarsi che ci sia una visita in loco.
Info
0645214568
dott.a.leandro@responsabiledellaprivacy.it
