Avv. Alessandro Ronchi

Avvocato civilista del Foro di Milano. DPO e Blogger. Mi occupo di protezione dei dati e nuove tecnologie.

Riflessioni sugli strumenti di Data Loss Prevention

Il tema della sicurezza informatica e degli strumenti di data loss prevention diviene, giorno dopo giorno, sempre più dibattuto in seguito ai ripetuti casi di data breach di rilevante impatto (si considerano tali quelli che coinvolgono i dati di oltre 10 milioni di individui) che si verificano, in ogni parte del mondo, con un trend in forte e costante crescita. La consapevolezza di questa realtà e della sua pericolosità è uno dei motivi che ha portato il legislatore europeo ad introdurre, in seno al GDPR, specifici obblighi per l’adozione, da parte dei titolari del trattamento, di adeguati strumenti di data loss prevention. L’art. 32 del GPDR dispone, infatti, che il titolare del trattamento (e, con lui, anche il responsabile del trattamento), adotti tutte le misure tecniche ed organizzative utili a garantire un livello di sicurezza “adeguato al rischio”. Ma qual… Leggi tutto »Riflessioni sugli strumenti di Data Loss Prevention

GDPR e privacy

GDPR e cloud: attenzione ai contratti

Le disposizioni dettate dal Regolamento UE 679/2016 (GDPR) in materia di sicurezza dei dati, pongono delicate ma importanti sfide alle aziende che hanno in essere o che vogliano procedere al trattamento dei propri dati tramite servizi di cloud computing. Considerato che, nella maggior parte dei casi, nel contratto di cloud, il cliente del servizio riveste il ruolo di titolare del trattamento e il fornitore (il cloud provider) assumerà la veste di responsabile del trattamento, l’azienda che destina i propri dati nel cloud, deve avere il potere/dovere di controllo sul provider in merito alla corretta esecuzione degli adempimenti previsti dal GDPR in relazione ai dati trattati. Diviene, dunque, contenuto imprescindibile del contratto tra cliente e cloud provider la previsione, a favore del titolare del trattamento, della facoltà di essere sempre messo nella condizione di svolgere un controllo effettivo sui dati comunicati al fornitore… Leggi tutto »GDPR e cloud: attenzione ai contratti

Anche i droni sognano pecore elettriche?

Ho parafrasato il titolo di un celebre libro di Philip K. Dick (da cui è tratto, come molti sanno, l’altrettanto famoso film Blade Runner, tornato alla ribalta proprio in questi giorni perché è appena uscito, nelle sale cinematografiche, a distanza di 35 anni dalla pellicola di Ridley Scott, il sequel) perché, in fondo, i droni sono tra noi esattamente come gli androidi vivevano integrati con la popolazione umana nell’immaginario dello scrittore americano. A ben vedere, però, i nostri droni si avvicinano di più ai robot di un altro film di fantascienza dei primi anni ’80, interpretato da Tom Selleck e intitolato “Runaway“. Per chi non l’abbia visto o non se lo ricordi, in questo film i robot sono diffusissimi ovunque: negli uffici, nelle campagne, nelle case della gente, dove svolgono una serie di lavori utilissimi all’umanità. Ovviamente, c’è anche il… Leggi tutto »Anche i droni sognano pecore elettriche?

GDPR e privacy

Chi assicura il DPO?

L’art. 37 del Regolamento UE 679/2016 (GDPR) prevede la nomina obbligatoria di un Data Protection Officer (DPO) in tre casi: quando il trattamento dei dati è effettuato da un’autorità pubblica o da un organismo pubblico; quando le attività principali consistono in trattamenti di dati che, per loro natura, ambito, applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; quando le attività principali consistono nel trattamento su larga scala di dati sensibili, genetici, giudiziari o biometrici. La figura del DPO, novità introdotta dal GDPR, ha acceso moltissimi dibattiti in merito alle caratteristiche che dovrà avere questo “specialista” che, secondo l’art. 37, comma 5 del GDPR, dovrà essere individuato “in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, delle capacità di assolvere ai compiti di… Leggi tutto »Chi assicura il DPO?

GDPR e privacy

Mobile security e GDPR

Ieri ho partecipato ad un interessante webinar curato da The Innovation Group in tema di mobile security alla luce della nuova disciplina introdotta dal GDPR, che entrerà in vigore il 25 maggio 2018. I relatori – Elena Vaciago , Gloria Marcoccio e Riccardo Canetta – hanno illustrato in modo efficace quali possono essere alcune soluzioni pratiche, con specifico riguardo alla mobile security, in risposta alle prescrizioni dell’art. 32 del GDPR, che impone alle aziende di mettere in atto “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”. Bisogna, innanzitutto, premettere che, secondo dati recenti, le violazioni di dispositivi mobili (smartphone, tablet, notebook) producono, mediamente, costi alle aziende nell’ordine di Euro 100.000,00 nel 40% dei casi; nell’ordine di Euro 500.000,00 nel 25% dei casi. Si tratta, quindi, di un problema già oggi rilevante e che diverrà… Leggi tutto »Mobile security e GDPR

L’importanza della sicurezza dei dati personali

Oggi ho avuto una conversazione con un cliente che, di fronte alla mia domanda in merito al livello di adeguamento dei suoi processi aziendali alle prescrizioni del Regolamento UE 679/2016 (GDPR) a tutela della sicurezza dei dati personali, mi ha risposto, piuttosto infastidito, che si tratta delle solite regole che non servono a nulla, perché “tanto su internet si trova tutto”, a dispetto dei numerosi adempimenti che vengono richiesti dalle attuali norme in materia di privacy. Tutti i miei tentativi di spiegargli che, proprio il fatto che “su internet si trova tutto” (anche quello che non dovrebbe esserci), rende evidente la necessità di regole nuove e più efficaci per la sicurezza dei dati personali, in quanto la tutela della sua clientela comincia proprio con l’adozione di adeguate protezioni dei dati raccolti, non hanno fatto breccia. Con mia grande frustrazione, ho dovuto,… Leggi tutto »L’importanza della sicurezza dei dati personali

Industria 4.0

La cosiddetta “quarta rivoluzione industriale” che va sotto il nome di Industria 4.0 si focalizza sull’adozione di alcune tecnologie definite abilitanti, tra le quali meritano di essere ricordate le seguenti: advanced manufacturing solution: si tratta di sistemi interconnessi e modulari che permettono flessibilità e performance. In queste tecnologie rientrano, ad esempio, i sistemi di movimentazione dei materiali automatici e la robotica avanzata (robot collaborativi o cobot); additive manufacturing: sistemi di produzione additiva che aumentano l’efficienza dell’uso dei materiali; augmented reality: sistemi di visione con realtà aumentata per aiutare meglio gli operatori nello svolgimento delle attività quotidiane; simulation: simulazione tra macchine interconnesse per ottimizzare i processi; horizontal e vertical integration: integrazione e scambio di informazioni in orizzontale e in verticale, tra tutti gli attori del processo produttivo; industrial internet: comunicazione tra elementi della produzione, non solo all’interno dell’azienda, ma anche all’esterno,… Leggi tutto »Industria 4.0

GDPR e privacy

Il danno reputazionale nell’era del GDPR

Il concetto di reputazione non è certamente nuovo al diritto, ma l’avvento del web e dei social media ha enormemente ampliato le occasioni di una sua lesione, con conseguente danno per le aziende. La reputazione è tradizionalmente definita come la considerazione di cui un individuo gode nell’ambiente sociale in cui vive ed opera; per quanto riguarda le persone giuridiche, già da tempo la Suprema Corte di Cassazione ha sancito la risarcibilità, ex art. 2043 c.c., della lesione della reputazione commerciale (la cosiddetta brand reputation) dell’impresa che subisce un danno di immagine per il fatto di un proprio dipendente o di un dirigente o, ancora, di un concorrente. Nell’era del web, la nozione di danno alla reputazione commerciale si è evoluta o, se vogliamo, ha trovato la sua maturità: “la reputazione è fondamentale, sia essa riferita alla persona (Personal Reputation) o a un’azienda… Leggi tutto »Il danno reputazionale nell’era del GDPR

GDPR e privacy

L’adeguamento dell’informativa privacy alle prescrizioni del GDPR

Il Regolamento UE 679/2016 (GDPR) impone a tutti gli operatori di riesaminare, quanto prima possibile, il modello di informativa attualmente in uso perché, dal 25 maggio 2018, il GDPR prevede una serie di cambiamenti a tale documento, alcuni dei quali molto importanti ed indifferibili. Cosa cambia, esattamente, dal 25 maggio 2018? Cerchiamo di fare sinteticamente il punto, anche alla luce delle prime indicazioni offerte dal nostro Garante Privacy. Il GDPR ribadisce, in primo luogo, in linea di continuità con il passato, che l’informativa deve essere concisa, trasparente, intelligibile, facilmente accessibile e deve usare un linguaggio semplice e chiaro. L’informativa può essere rilasciata all’interessato anche in formato elettronico (art. 12), che è da preferirsi al formato cartaceo anche se questa seconda modalità, comunque, rimane un’alternativa valida e consentita. Indipendentemente dal mezzo (tradizionale o elettronico) scelto per fornire l’informativa, è fondamentale che il titolare del trattamento possa sempre dimostrare di… Leggi tutto »L’adeguamento dell’informativa privacy alle prescrizioni del GDPR

GDPR e privacy

Il nuovo Regolamento UE in materia di privacy (GDPR) entra in vigore il 25 maggio 2018: siete pronti?

Dall’inizio dell’anno si susseguono interventi della stampa, anche specializzata, che evidenziano un importante ritardo delle aziende italiane nell’adeguamento alle nuove norme in materia di privacy introdotte dal Regolamento UE 679/2016 (General Data Protection Regulation – GDPR) che entrerà in vigore, in tutti gli Stati Membri, il 25 maggio 2018. Già nel mese di gennaio veniva segnalato che, a distanza di oltre un anno dall’approvazione del GDPR  “le aziende italiane non conoscono il nuovo Regolamento” (così il sito Innovationpost.it che, a sua volta, richiamava dati pervenuti anche da altri osservatori) e che “la consapevolezza delle imprese sull’argomento è limitata: al momento, solo un’azienda italiana su cinque ne conosce nel dettaglio le implicazioni e solo il 9% ha avviato un progetto per adeguarsi alla normativa”. La situazione non sembra essere significativamente migliorata neppure nei mesi successivi se si considera che, ancora a metà giugno,… Leggi tutto »Il nuovo Regolamento UE in materia di privacy (GDPR) entra in vigore il 25 maggio 2018: siete pronti?