Prima Edizione

NEWS

LA NUOVA FRONTIERA EUROPEA

DELLA PRIVACY

CYBERBULLISMO PRIMA LEGGE

IN MATERIA L.71/2017

2 Prima Edizione

Software

Caratteristiche

Aggiornamenti costanti secondo le nuove disposizioni legislati-

ve

Registri dei trattamenti come Titolare e Responsabile

Lettere di Nomina

Organigramma

Data Retenction

ISO 27001

Nessuna installazione

Protezione dei dati inseriti con elevati livelli di sicurezza

Tabelle predefinite con dati inseriti con possibilità di inserimen-

to e personalizzazione

Importazioni ed esportazioni dati in formato csv o excel

Demo :

www.totalserviceprivacy.com/tool-gdpr/demo-dpo

Prima Edizione 3

Gentilissimi Clienti

TOTAL NEWS nasce per informarVi in merito alle ultime variazioni legislative in ambito privacy;

pubblicazioni del Garante Privacy, leggi che impattano sul trattamento dati o sulle nuove disposi-

zioni previste dal GDPR.

Il 2018 è stato un anno pieno di novità in ambito privacy. L’entrata in vigore del nuovo Regola-

mento Privacy (General Data Protection Regulation –GDPR) a partire dal 25 maggio scorso , ha

coinvolto aziende, pubbliche amministrazioni, professionisti e via dicendo.

Le nuove norme mirano ad adeguare il livello di protezione dei nostri dati all’evoluzione degli stru-

menti che utilizziamo quotidianamente e con cui registriamo, trasmettiamo e archiviamo i dati dei

nostri clienti e dipendenti.

Un principio chiave del nuovo Regolamento, che ha cambiato o che dovrebbe cambiare il modo

di porsi verso la nuova normativa, è il principio di “ responsabilizzazione” o “ accountability” ; signi-

fica, quindi, che ciascuno dovrà fare le valutazioni e le scelte adatte alla propria specifica realtà.

In questo numero di TOTAL NEWS, tra i vari argomenti, abbiamo trattato della norma di recepi-

mento nazionale al Regolamento (D.Lgs 101), della nuova proposta di Regolamento ePrivacy che

dovrebbe sostituire l’attuale direttiva ePrivacy(Cookie), dell’elenco dei trattamenti soggetti a Valu-

tazione di Impatto e del Bilancio di alcuni Garanti Europei sui primi 5 mesi di attuazione del GDPR.

Molte sono le informazioni, in ambito privacy, che ci pervengono giornalmente tramite internet o

tramite mail, e non è sempre facile “ districarsi” o “ filtrare” le notizie.

Il nostro obbiettivo, la nostra missione, per cui ci avete incaricato, è essere al vostro fianco fornen-

dovi “ strumenti”, oltre alla consulenza e ai vari “servizi” , che possono essere utili a fornirvi le rispo-

ste ai vostri quesiti.

Il giornalino avrà una frequenza semestrale e sarà disponibile/consultabile anche sul sito internet

www.totalserviceprivacy.com

Buona lettura

Eleonora

4 Prima Edizione

Prima Edizione 5

Sommario Prima Edizione

6. Cosa cambia con il decreto 101

8. Regolamento ePrivacy : La nuova frontiera Europea della privacy

15. Cyber bullismo : Prima legge in Materia L..71/2017

10. Elenco dei Trattamenti soggetti alla Valutazione di Impatto

13. La Valutazione di Impatto : Individuazione e gestione del Rischio

18. Bilancio del Garante Italiano , Tedesco e Francese

22. Social network e tutela della Privacy

In primo piano

Interventi del Garante Privacy

Privacy e Azienda

15. Gestione della Privacy in ambito digitale

22. Cybersecurity e Industria 4.0 : Quanti sono i rischi e come affrontarli

Privacy e Sanità

17. Privacy e Sanità

6 Prima Edizione

I l Regolamento Privacy, meglio noto come GDPR è stato recepi-

to dallo Stato Italiano con il De-creto 101 entrato ufficialmente in vigore il 19 settembre scorso. Da questa data, tutti coloro che non si adegueranno alle norme vigenti, rischieranno sanzioni

amministrative e sanzioni penali.

Trattamento illecito di dati (da 6 mesi a 1 anno e 6 mesi e per i casi

più gravi fino a 3 anni)

Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (reclusione da 1 a 4

anni)

Comunicazione e diffusione illeci-ta di dati personali oggetto di trat-tamento su larga scala (reclusione

da 1 a 6 anni)

Inosservanza dei Provvedimenti

del Garante (reclusione da 3 mesa

2 anni)

Sarà compito del Garante scrivere regole per l’applicazione delle sanzioni ammini-strative. Per i primi 8 mesi il Garante tie-ne conto della fase di prima applicazio-ne, ma non significa che non potrà irro-gare sanzioni amministrative che posso-

no essere salatissime.

Le sanzioni amministrative pecuniarie di minore entità possono raggiungere i 10

milioni di Euro per i singoli e per le im-prese fino al 2% del fatturato globale annuo, se superiore, e riguardano le vio-

lazioni degli obblighi per:

Il Titolare e il Responsabile del

trattamento;

L’Organismo di Certificazione;

L’Organismo di Controllo dei Co-

dici di Condotta.

Le sanzioni amministrative di maggiore entità possono arrivare a 20 milioni di Euro per i singoli o fino al 4% del fattura-

to mondiale annuo per le aziende, a pre-scindere da dove sia la sede principale,

che può essere anche fuori dall’Europa.

L e sanzioni amministrative di maggiore entità possono arrivare a 20 milio-ni di Euro per i singoli o fino al 4% del fatturato mondiale annuo per le aziende, a prescindere da dove sia la sede principale, che può essere an-

che fuori dall’Europa.

COSA CAMBIA CON IL DECRETO 101

Sanzioni Penali

Sanzioni Amministrative

Prima Edizione 7

Definisce in modo chiaro cosa si in-

tende per comunicazione e diffusio-

ne dei dati personali;

Individua nel Garante Privacy

l’Autorità incaricata al controllo e

alla promozione delle regole deon-

tologiche in materia;

Stabilisce che il consenso al tratta-

mento dei dati personali potrà esse-

re espresso al compimento dei 14

anni di età;

Impone a tutti gli organi giudiziari di

nominare il DPO e precisa le limita-

zioni ai diritti degli interessati in rela-

zione a ragioni di giustizia. Rafforza

il divieto di pubblicazione dei dati

dei minori e prevede una relativa

sanzione penale al riguardo;

Considera di rilevante interesse pub-

blico, la possibilità di utilizzare dati

personali di determinati soggetti;

Prevede l’adozione di misure ade-

guate di sicurezza, come tecniche di

c i f r a t u r a e d i p s e u d o -

anonimizzazione a tutela del dato

personale, misure di minimizzazione

e specifiche modalità per l’accesso

selettivo ai dati;

Prevede che il Ministero della Salute,

acquisendo il parere del del Consi-

glio Superiore di Sanità, adotti misu-

re di garanzia che riguardano dati

genetici e dati relativi alla salute per

finalità di prevenzione, diagnosi e

cura;

Ammette l’utilizzo di dati biometrici

per l’accesso fisico e logico ai dati da

parte di soggetti autorizzati, nel ri-

spetto di misure di garanzia e prote-

zione;

Assegna al Garante il compito di

scrivere misure di garanzia per il

trattamento di dati genetici, biome-

trici e sanitari;

Introduce il concetto di eredità del

dato in caso di decesso, introducen-

do una norma che consente di di-

sporre post-mortem dei propri dati

caricati nei servizi informativi delle

società;

Viene fornita la possibilità di comu-

nicare dati personali degli studenti

universitari, previo consenso, per

favorirne l’inserimento nel mondo

del lavoro, per la formazione e

l’orientamento professionale;

Come forma di tutela, introduce il reclamo, alternativo al ricorso in Tri-bunale.

IL DECRETO

8 Prima Edizione

REGOLAMENTO ePRIVACY:

La Nuova Frontiera Europea della Privacy

C on l’entrata in vigore del Re-golamento Generale sulla Pro-tezione dei Dati (GDPR), l’attenzione è rivolta ai nego-

ziati in seno alle Istituzioni Europee che potrebbero portare all’adozione di un altro Regolamento Europeo relativo alla tutela dei dati personali: il cosiddet-to Regolamento ePrivacy (“ePR”).

Si tratta di un Regolamento che stabili-sce norme specifiche per la tutela dei dati personali trattati ai fini della forni-tura e fruizione di servizi di comunica-zione elettronica (come email, messag-gistica istantanea, ecc.).

La bozza del Regolamento ePrivacy è stata presentata dalla Commissione Eu-ropea nel gennaio 2017, ora all’esame del Parlamento Europeo e del Consi-

glio.

Se adottato il Regolamento andrebbe a sostituire i contenuti della Direttiva ePri-vacy che attualmente fissa le regole specifiche volte a garantire la riserva-tezza delle comunicazioni e la tutela dei dati nel settore delle comunicazioni elettroniche.

L’aggiornamento si rende necessario per mettere la normativa in questione al passo con gli sviluppi tecnologici oc-corsi nell’ultimo decennio.

I consumatori e le imprese si affidano sempre di più ai nuovi servizi basati su internet, intesi a consentire le comuni-cazioni interpersonali, quali il voice-over-ip, la messaggistica istantanea e i servizi di posta elettronica basati sulla rete.

Questi servizi di comunicazione Over-the-Top (“OTT”) non sono soggetti all’attuale legislazione in materia di co-municazioni elettroniche.

Ciò si traduce in una lacuna nella tutela delle comunicazioni effettuate median-te tali nuovi servizi.

I l rapporto tra Regolamento ePrivacy e il GDPR è di complementarietà. Mentre il GDPR mira ad assicurare la protezione dei dati personali, il Regolamento ePrivacy mira ad assicurare la riservatezza e la sicurezza delle comunicazioni elettroniche nonché l’integrità delle informazioni

contenute nei dispositivi elettronici utilizzati per comunicare (smartphone, tablet, ecc.) che contengono o meno dati personali

Prima Edizione 9

Principali novità del Regolamento ePrivacy:

c ome avvenuto con il GDPR, la scelta del legi-slatore è quella di proporre il passaggio da una Direttiva ad un Regolamento. Il Regola-mento è immediatamente applicabile in tutti gli Stati Membri, senza la necessità di inter-

venti attuativi da parte dei legislatori nazionali;

A mpliamento dell’ambito di applicazione anche agli OTT ,ossia a quei fornitori di servizi di comunicazione basati sull’uso della rete internet come i servizi di In-stant Messaging;

C onfidenzialità delle comunicazioni da mac-china a macchina ,il Regolamento quindi andrà a regolamentare tutte le attività che rientrano nel cosiddetto Internet of Things

(Internet delle cose), poiché tali comunicazioni coin-volgono ovviamente anche dati degli utenti. In so-stanza, l’adozione del Regolamento, comporterebbe che il trasferimento di questi dati possa avvenire solo con il consenso dell’utente e non in automatico come avviene oggi, con un maggiore controllo sul flusso dei dati in uscita dai dispositivi IoT da parte degli utenti;

C onsenso per l’uso dei cookie attraverso le impo-stazioni del browser ,si è pensato di rimediare all’eccesso di “cookie banner” imponendo ai browser di consentire agli utenti di gestire il proprio consenso ai “cookie di terze parti” tra

mite le impostazioni del browser.

S anzioni più elevate e meccanismi di en-forcement più efficaci ,vista la stretta relazione tra il Regolamento ePrivacy ed il GDPR, la proposta è quella di allineare

le sanzioni amministrative previste per le viola-zioni del Regolamento ePrivacy con quelle pre-viste dal GDPR, ovvero sanzioni fino a 20 milio-ni di Euro o fino al 4% del fatturato annuo, se superiore. Sempre per garantire la coerenza tra Regolamento ePrivacy e GDPR, si è proposto di affidare la responsabilità di far applicare il Regolamento ePrivacy alle stesse autorità responsabili del monitoraggio del GDPR.

10 Prima Edizione

ELENCO DEI TRATTAMENTI SOGGETTI

ALLA VALUTAZIONE DI IMPATTO

Elenco delle tipologie dei trattamenti da sottoporre a Dpia

I l Garante ha pubblicato l’elenco delle tipologie di trattamenti sog-getti al requisito di una valutazione di impatto, ai sensi dell’articolo 35,

comma 4 del GDPR 679/2016 (gazzetta ufficiale serie generale n.269 del 19 novembre 2018) riportate nell’allegato 1 del provvedimento del Garante n.467 dll’11 ottobre 2018.

La lista tuttavia non è esaustiva e non esonera la DPIA per trattamenti non ricompresi in lista, quando il rischio ri-sulta comunque elevato. Per chi opera con titolari che fanno trattamenti tran-sfrontalieri si deve porre molta attenzio-ne, in quanto le liste adottate dalle di-verse autorità nazionali non sono sem-pre identiche e l’interessato residente in altro Stato può fare reclamo anche dal proprio paese.

1 .Trattamenti valutativi o di sco-ring su larga scala, nonché tratta-menti che comportano la profilazio-ne degli interessati nonché lo svolgi-mento di attività predittive effettuate anche on-line o attraverso app, rela-tivi ad “aspetti riguardanti il rendi-mento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato”.

2 .Trattamenti automatizzati finalizza-ti ad assumere decisioni che produco-no “effetti giuridici” oppure che incido-no “in modo analogo significativamen-te” sull’interessato, comprese le decisio-ni che impediscono di esercitare un di-ritto o di avvalersi di un bene o di un servizio o di continuare ad esser parte di un contratto in essere (ad es. screening dei clienti di una banca attra-verso l’utilizzo di dati registrati in una centrale rischi).

Prima Edizione 11

3 .Trattamenti che prevedono un utilizzo sistematico di dati per l’osservazione, il monitoraggio o il controllo degli interessati, compresa la raccolta di dati attraverso reti, ef-fettuati anche on-line o attraverso app, nonché il trattamento di identifi-cativi univoci in grado di identificare gli utenti di servizi della società dell’informazione inclusi servizi web, tv interattiva, ecc. rispetto alle abitu-dini d’uso e ai dati di visione per pe-riodi prolungati. Rientrano in tale previsione anche i trattamenti di me-tadati ad es. in ambito telecomunica-zioni, banche, ecc. effettuati non sol-tanto per profilazione, ma più in ge-nerale per ragioni organizzative, di previsioni di budget, di upgrade tec-nologico, miglioramento reti, offerta di servizi antifrode, antispam, sicurez-za etc.

4 .Trattamenti su larga scala di dati

aventi carattere estremamente persona-

le(v. WP 248, rev. 01): si fa riferimento,

fra gli altri, ai dati connessi alla vita fami-

liare o privata (quali i dati relativi alle

comunicazioni elettroniche dei quali oc-

corre tutelare la riservatezza), o che inci-

dono sull’esercizio di un diritto fonda-

mentale (quali i dati sull’ubicazione, la

cui raccolta mette in gioco la libertà di

circolazione) oppure la cui violazione

comporta un grave impatto sulla vita

quotidiana dell’interessato (quali i dati

finanziari che potrebbero essere utilizza-

ti per commettere frodi in materia di pa-

gamenti)

5 .Trattamenti effettuati nell’ambito del rapporto di lavoro mediante sistemi tecnologici (anche con riguardo ai sistemi di videosorve-glianza e di geolocalizzazione)dai quali derivi la possibilità di effettuare un controllo a distanza dell’attività dei dipendenti(si veda quanto stabili-to dal WP 248, rev. 01, in relazione ai

criteri nn. 3, 7 e 8).

6 .Trattamenti non occasionali di dati relativi a soggetti vulnerabili (minori, disabili, anziani, infermi di mente, pa-zienti, richiedenti asilo).

7 .Trattamenti effettuati attraverso l’uso di tecnologie innovative,anche con particolari misure di carattere organizzativo (es. IoT;sistemi di intelligenza artifi-ciale; utilizzo di assistenti vocali on-line attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogniqualvolta ricorra anche almeno un altro dei criteri individuati nel WP 248, rev. 01

12 Prima Edizione

8 .Trattamenti che comportano lo scambio tra diversi titolari di dati su larga scala con modalità telematiche

9 .Trattamenti di dati personali ef-

fettuati mediante interconnessione,

combinazione o raffronto di informa-

zioni, compresi i trattamenti che pre-

vedono l’incrocio dei dati di consu-

mo di beni digitali con dati di paga-

mento (es. mobile payment)

1 0.Trattamenti di categorie parti-

colari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e a reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse

1 1.Trattamenti sistematici di dati

biometrici, tenendo conto, in partico-lare, del volume dei dati, della dura-ta, ovvero della persistenza, dell’attività di trattamento

1 2.Trattamenti sistematici di dati genetici, tenendo conto, in particolare,del

volume dei dati, della durata, ovvero della persistenza, dell’attività di tratta-

Come indicato dal Professor Francesco Pizzetti “la valu-tazione del livello di rischio deve riguardare innanzitut-to la fase della progettazione (ex art.24) e deve riguar-dare le libertà e i diritti delle persone fisiche, non degli interessati in quanto tali.

Interessati si diventa quando il trattamento inizia, ma la

valutazione del rischio deve riguardare innanzitutto la

fase della progettazione, quando ci sono certamente le

persone fisiche, non ancora gli interessati”.

Prima Edizione 13

LA VALUTAZIONE DI IMPATTO :

Individuazione e Gestione del Rischio

P er “rischio” si intende uno scenario descrittivo di un e-vento e delle relative conse-guenze, che sono stimate in

termini di gravità e probabilità per i diritti e le libertà.

Gli elementi da considerare per

l’individuazione del rischio, sono:

Origine

Natura

Gravità

Probabilità

Impatto sui diritti e le libertà degli interessati

Non bisogna confondere la gestione dei rischi con il tema delle misure di sicurezza in quanto il rischio non si riferisce al titolare ma al soggetto interessato.

La valutazione del rischio deve ri-guardare non solo la sicurezza del trattamento ma anche gli effetti com-plessi del trattamento.

Gli aspetti riguardanti la sicurezza del trattamento sono :

Distruzione

Indisponibilità

Perdita

DISPONIBILITA’

INTEGRITA’

Alterazione

RISERVATEZZA Divulgazione

Accesso

14 Prima Edizione

Gli effetti complessivi del trattamento, sono:

Danno per la reputazione

Discriminazione

Furto di identità

Perdite finanziarie

Danni fisici o psicologici

Perdita di controllo dei dati

Altri svantaggi economici o sociali

Impossibilità di esercitare diritti, servizi o op-portunità

Rientrano tra le misure per la gestione del rischio (accountability):

Qualità dei servizi

Cifratura

Conservazione adeguata

Anonimizzazione dei dati

Minimizzazione

Misure Tecnologiche (policy di si-curezza logiche e fisiche, aggiorna-

menti servizi e software, test, controllo accessi e tracciamento operazioni)

Misure Organizzative (ruoli, governance, istruzioni, formazione, procedure, audit, strumenti di controllo per gli interessati, contratti)

Prima Edizione 15

I l Cyberbul l i smo consiste nell’attacco ripetuto, realizzato attraverso strumenti tecnologici, nei confronti di un soggetto per-cepito come “diverso”.

La disciplina interna che per la prima volta si occupa organicamente della materia è la legge 71/2017 che affida un ruolo importante nel contrasto di questo fenomeno alla scuola.

Eccone i punti salienti:

1. Ciascun minore ultraquattordicen-ne (o i suoi genitori o chi esercita la responsabilità del minore) che sia vittima di cyberbullismo può inoltrare al titolare del trattamen-to o al gestore del sito internet o del social media un’istanza per l’oscuramento, la rimozione o il blocco dei contenuti diffusi nella rete. Se entro 24 ore il gestore non avrà provveduto, l’interessato può rivolgere analoga richiesta al Garante per la Protezione dei Dati

Personali, che rimuoverà i conte-nuti entro 48 ore.

2. Nasce presso la Presidenza del Consiglio dei Ministri il tavolo tec-nico per la prevenzione e il con-trasto del cyberbullismo, che ha il compito di redigere un piano di

azione integrato per il contrasto e la prevenzio-ne del cyberbullismo. Il piano prevede campa-gne periodiche informa-tive di prevenzione e sensibilizzazione sul fe-nomeno. Entro il 31 di-

cembre di ogni anno, il tavolo farà una relazione al Parlamento sulle

attività svolte.

3. Il MIUR adotta delle linee di orien-tamento per la prevenzione e il contrasto del cyberbullismo nelle scuole, anche avvalendosi della collaborazione della Polizia Posta-le e delle comunicazioni. Le Linee Guida andranno aggiornate ogni 2 anni.

CYBERBULLISMO :

Prima Legge In Materia 71/2017

16 Prima Edizione

I l Cyberbullismo consiste nell’attacco ripetuto, realizzato attraverso strumenti tecnologici, nei confronti di un soggetto

percepito come “diverso”.

4. Ogni Istituto scolastico ha il compito di individuare tra i docenti un refe-rente con il compito di coordinare le iniziative di prevenzione e di contra-sto del cyberbullismo, anche avva-lendosi della collaborazione delle forze di polizia e delle associazioni e dei centri di aggregazione giovanile presenti sul territorio.

5. Per i l t r iennio 2017/2019 ci sarà una formazione del personale scolastico sul tema. Viene pro-mosso un ruolo attivo degli studenti e di ex studenti in attività di Peer education, nella prevenzione e nel contrasto del cyber-

bullismo nelle scuole.

6. I Servizi territoriali, hanno il compito di promuovere progetti personalizzati per sostenere le vittime di cyberbullismo e a riedu-care, anche attraverso l’esercizio di attività riparatorie o di utilità sociale, i minori autori di cyberbullismo.

7. Il dirigente scolastico che viene a conoscenza di atti di cyberbullismo, deve informare tempestivamente i genitori dei soggetti coinvolti. I Re-golamenti scolastici devono preve-dere esplicite sanzioni disciplinari, commisurate alla gravità degli atti compiuti.

8. Per i minori autori di cyberbullismo, fra i 14 e i 18 anni, se non c’è querela o denuncia per i reati di cui agli articoli 594, 595 e 612 del Codice Penale, scat-ta l’ammonimento. Il Questore convoca il minore insieme ad almeno un genitore.

Prima Edizione 17

GESTIONE DELLA PRIVACY IN AMBITO

DIGITALE:

Pubblicata la UNI/PdR 43:2018

E ’ stata pubblicata la prassi di riferimento Uni/PdR 43:2018 “Linee Guida per la gestione dei dati Personali in ambito

ICT secondo il Regolamento UE 679/2016 (GDPR)”

L’obiettivo del documento è quello di definire in modo obiettivo e ripetibile le azioni per il corretto trattamento

dei dati personali, offrendo a titolari e responsabili una linea guida di rife-rimento.

La prassi di riferimento si compone di 2 sezioni:

UNI/PdR 43.1 “Gestione e monito-raggio dei dati personali in ambito ICT”: la sezione 1 fornisce le linee guida per la definizione e attuazio-ne dei processi afferenti al tratta-mento dei dati personali, median-te strumenti elettronici ICT, secon-do il Regolamento Europeo 679/2016 e la normativa vigente.

UNI/PdR 43.2 “Requisiti per la prote-zione e valutazione dei dati personali in ambito ICT”: la sezione 2 fornisce un adeguato insieme di requisiti che permetta alle organizzazioni, in parti-colare alle PMI, di essere conformi a quanto previsto dal quadro normati-vo europeo nazionale in modo effica-ce, potendo dimostrare tale conformi-tà ed efficacia attraverso un percorso di certificazione. Il presente documen-to fornisce inoltre gli indirizzi per la valutazione di conformità ai requisiti definiti.

18 Prima Edizione

BILANCIO DEI GARANTI

SUI PRIMI 5 MESI DI

APPLICAZIONE DEL

GDPR

Garante Italiano Garante Tedesco Garante Francese

Comunicazio

ni Dati DPO 40.738 24.500

Reclami e

segnalazioni 2.547 1.020 3.767

Contatti registrati all’Ufficio Relazioni

Pubblico

7.200 1.453 + 45%

Comunicazioni Data

Breach

305 4.244 600

Data Braches

Comunitari

262

D allo schema riportato, ap-pare evidente che le se-gnalazioni maggiori di data breach siano avvenu-ti in Germania.

Dobbiamo però precisare che il data breach non riguarda solo casi di at-tacchi cyber volti a mettere in crisi sistemi informatici più o meno com-plessi e protetti, ma riguarda anche perdite o furti di terminali contenenti dati, come laptop, telefoni cellulari, hard disk esterni e chiavette usb.

Sembrerebbe quindi molto dura a

morire l’abitudine dei responsabili informatici di non coinvolgere, in ca-so di violazione dei dati, le altre fun-zioni operative dell’azienda.

Il GDPR, invece, ci chiama proprio ad un ribaltamento di questa mentalità obbligandoci a far scattare immedia-tamente un’indagine interna corale che coinvolga funzioni IT, legali, compliance, DPO, fino eventualmen-te a coinvolgere Ad e CdA, onde de-finire entro le 72 ore dall’evento la sussistenza degli obblighi di notifica e comunicazione.

Prima Edizione 19

SANITA’ E PRIVACY

I dati relativi alla salute, sono quelli attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi

di assistenza sanitaria, che rilevano informazioni relative al suo stato di salute (art.4 GDPR).

Questi dati sono ricompresi nei dati particolari (art.9 GDPR) in quanto in grado di rilevare dettagli molto intimi della persona, e per questo motivo è necessario fornire una prestazione maggiore

Il GDPR, ha lasciato comunque agli Stati membri la possibilità di “mantenere o introdurre ulteriori condizioni, comprese limitazioni con riguardo al trattamento di dati gene-tici, dati biometrici o dati relativi alla salute”.

Il legislatore italiano ha previsto nel D.Lgs 101, misure di garanzia e rego-le deontologiche, fissate dall’autorità di controllo nazionale, che dovranno essere riviste con cadenza biennali

Gli esercenti una professione sanita-ria, in base alle leggi vigenti (L.24/2017), sono:

Farmacista ex D.lgs 258/1991;

Medico Chirurgo ex D.lgs 368/1999;

Odontoiatra ex L.409/1985;

Veterinario ex L 750/1984;

Psicologo ex L.56/1989;

Infermiere ex L.905/1980;

Ostetrico ex L.296/1985;

Infermiere pediatrico ex D.L. 70/1997;

Esercente professioni sanitarie riabilitative.

Sono esclusi l’operatore di interesse sanitario (L.403/1971 e L.43/2006) e arti ausiliari delle prestazioni sanitarie (massaggiatore, ottico, odontotecni-

co, puericultrice);

Questi soggetti, dovranno effettuare il trattamento quali autorizzati del titolare oppure previa acquisizione del consenso.

Il Regolamento stabilisce che i dati relativi alla salute posso essere uti-lizzati per:

Finalità di cura;

La supervisione del sistema sanita-rio nazionale;

La ricerca nel pubblico interesse.

I soggetti che per legge possono trattare dati sanitari sono:

Esercenti una professione sanita-ria;

Organismi sanitari pubblici.

20 Prima Edizione

Prima di procedere alla raccolta dei dati occorre fornire

l’informativa al paziente.

Il documento dovrà indicare:

L’identità e i dati di contatto

del titolare del trattamento

I dati di contatto del DPO, ove

nominato e ove applicabile

Le finalità del trattamento;

Gli eventuali

legittimi interessi

L’intenzione di trasferire dati personali a un paese terzo

Il periodo di con-servazione dei da-ti,

oppure i criteri per determinare tale periodo

I diritti dell’interessato

I documenti che contengono dati sanitari devono essere conservati in archivi ad

accesso controllato (es. schedari con serratura) e comunque in modo che terzi

non possono accedervi.

I dati sullo stato di salute possono essere forniti anche a terzi, come parenti, fami-

liari, conviventi, conoscenti, purché ovviamente il paziente, se cosciente, sia stato

informato e abbia acconsentito. Occorre comunque rispettare l’eventuale richie-

sta della persona ricoverata a non rendere note, neppure a terzi legittimati, la

sua presenza nella struttura sanitaria o le informazioni sulle sue condizioni di sa-

lute.

Prima Edizione 21

ll Fascicolo Sanitario Elettronico –

FSE (previsto dall’art. 12 DL

179/2012) è uno strumento informa-

tico che riunisce i dati e i documenti

(digitali o digitalizzati) di tipo sanita-

rio e sociosanitario, relat ivi

all’assistito.

La sua funzione

è di condividere

la storia clinica

del paziente, tra

vari medici o

organismi sani-

tari.

il Fascicolo viene aggiornato dalle

strutture sanitarie e dai medici. Al

FSE possono accedere, oltre al pa-

ziente (con modalità sicure, es.smart

card) i medici e il personale sanitario

autorizzato. Non possono accedervi

terzi, quali periti assicurativi o datori

di lavoro.

L’inserimento di dati all’interno

dell’FSE dipende dal consenso del

paziente. A tal proposito deve essere

informato di chi può avere accesso ai

suoi dati e come questi possono es-

sere utilizzati.

Il consenso alla for-

mazione dell’FSE è

dl tutto distinta dal-

le cure, nel senso

che il mancato con-

senso alla costitu-

zione del FSE, non

può precludere la

possibilità di usufru-

ire delle cure. Il consenso può essere

sempre revocato e il paziente ha il

diritto di oscurare dati specifici

dall’FSE.

L ’inserimento di dati all’interno dell’FSE dipende dal consen-so del paziente. A tal proposito deve essere informato di chi può avere accesso ai suoi dati e come questi possono esse-re utilizzati.

22 Prima Edizione

SOCIAL NETWORK E TUTELA DELLA

PRIVACY

I l Garante della Privacy, congiun-tamente a tutte le Autorità mon-diali di protezione dei dati, in oc-casione della 30ma Conferenza

Internazionale delle Autorità di Pro-tezione dei Dati di Strasburgo (15/17 ottobre 2018) hanno fornito a utenti e fornitori di servizi delle raccoman-dazioni sull’uso dei social network.

Durante la conferenza è emerso che i servizi di social network sono dive-nuti estremamente popolari negli ultimi anni, offrendo opportunità co-municative e di interazione in tempo reale. Ma l’utilizzo di questi spazi può comportare rischi per la privacy sia degli utenti sia di terzi. I dati persona-li divengono infatti disponibili pubbli-camente e in modo globale, secondo schemi qualitativi e quantitativi che non hanno precedenti, anche attra-verso enormi quantità di foto e video digitali. C’è il rischio di perdere il con-trollo dei propri dati una volta pub-blicati in rete, in quanto i dati posso-no essere copiati da altri membri del-la rete, o da terzi non autorizzati e quindi possono essere utilizzati per costruire profili personali oppure es-sere pubblicati altrove. Talora risulta assai difficile, o addirittura impossibi-le, ottenere la cancellazione dei pro-

pri dati da internet una volta che so-no stati pubblicati. Anche dopo la cancellazione dal sito originario (ad esempio, un servizio di social network), possono esistere copie in mano a soggetti terzi o ai fornitori del servizio di social network. Inoltre, i dati personali contenuti nei profili possono “filtrare” dalla rete se sono indicizzati da un motore di ricerca, mentre alcuni fornitori di questi servi-zi consentono a terzi di accedere ai dati relativi agli utenti attraverso API, cosicché tali soggetti terzi sono liberi di disporre dei dati in questione. I dati provenienti dai social network sono utilizzati da molti uffici del per-sonale per verificare o completare le informazioni fornite dai candidati all’assunzione o dai fornitori di servizi di social network per l’invio di mes-saggi mirati di marketing ai rispettivi utenti.

Fra i rischi per la privacy e la sicurez-za, possiamo ricordare l’incremento del rischio di furti di identità favorito dalla diffusa disponibilità dei dati per-sonali contenuti nei profili-utente e dalla “cattura” di tali profili ad opera di terzi non autorizzati.

Prima Edizione 23

Tenuto conto della particolare natura dei servizi in oggetto, e dei rischi per la privacy delle persone nel breve e nel lungo periodo, la Conferenza ha emanato le seguenti raccomandazioni agli utenti e ai fornitori di social network.

Raccomandazioni per gli utenti di social network

P ubblicazione delle informazioni: Gli utenti dovrebbero valutare con atten-zione se e in quale misura pubblicare dati personali. Occorre tener pre-sente che le informazioni o le immagini pubblicate potrebbero riemerge-

re in tempi successivi (ad esempio in occasione della presentazione di una do-manda di impiego). I minori dovrebbero evitare di fornire l’indirizzo o il numero telefonico di casa. Sarebbe opportuno valutare l’utilizzo di un profilo pseudoni-mo anziché il nome reale.

L a Privacy degli altri: Gli utenti devono rispettare la privacy altrui. Occorre prestare particolare attenzione quando si pubblica dati personali di sog-getti terzi (comprese foto con o senza didascalie o etichette) senza il con-

senso di tali soggetti.

24 Prima Edizione

F ra i rischi per la privacy e la sicurezza, possiamo ri-cordare l’incremento del rischio di furti di identità favorito dalla diffusa disponibilità dei dati personali contenuti nei profili-utente e dalla “cattura” di tali

profili ad opera di terzi non autorizzati.

Raccomandazioni ai fornitori di servizi di social network

P revedere configurazioni tecniche orientate a favorire la privacy degli u-tenti ed informarli in modo corretto e trasparente sulle conseguenze che potrebbero derivare dalla pubblicazione di dati personali in un profilo;

A dottare adeguate misure di sicurezza per impedire che soggetti esterni possano raccogliere o scaricare in massa (attraverso software spia) i dati

contenuti nel profilo;

G arantire che i dati degli utenti non siano estratti dai motori di ricerca se non con il loro previo consenso;

C onsentire agli utenti di limitare la visibilità dell’intero profilo, di recedere facilmente dal servizio e di cancellare ogni informazione pubblicata sul social network.

Prima Edizione 25

CYBERSECURITY E INDUSTRIA 4.0:

Quanti sono i rischi e come

affrontarli

L ’Italia corre verso l’industria

4.0 ma sottovaluta la sicu-

rezza informatica

Cosa è la Cyber Security?

Cybersecurity è un sinonimo di sicu-rezza informatica, ovvero di tutte quelle tecnologie utili a proteggere un computer a un insieme di compu-ter (sistema informatico) da attacchi che possono portare alla perdita o compromissione di dati ed informa-zioni.

La cybersecurity , al contrario dell’information security, dipende solo dalla tecnologia informatica. Per capire se un sistema informatico è più o meno sicuro bisogna trovare le minacce, le vulnerabilità e protegger-lo da eventuali attacchi.

Perché l’industria 4.0

porta rischi cybersecurity?

L’industria 4.0 significa innovazione di processo, di prodotto, di servizi, di gestione, con impatti significativi su-gli impianti, sui prodotti, sulle infor-mazioni ovviamente sulle persone. Tutto questo è incentrato e reso pos-sibile grazie alla pervasività delle tec-nologie ICT e a quello che ormai è chiamato il cyberspazio.

Una delle conseguenze auspicate dall’industria 4.0 è l’estensione al mondo manifatturiero di quello sta-tus Always-on (sempre connesso). Le tecnologie abilitanti includono, ov-viamente, Cloud, banda larga e ultra-larga, Big Data, Robot, Droni, Intelli-genza artificiale e l’Internet of Things (IoT).

26 Prima Edizione

P rimo rischio della Cybersecurity

Tutte queste tecnologie e, in parti-

colare la IoT, hanno incrementato a

dismisura incrementando sempre

di più quella che gli esperti chiamano la su-

perficie di attacco, vale a dire le opportunità di sferrare attacchi malevoli e deva-

stanti da parte di cyber criminali, siano essi individui singoli, organizzazioni crimi-

nali o Stati Sovrani più o meno “vicini”.

Dal punto di vista aziendale i rischi sono di diverso tipo innanzitutto il “tutto con-

nesso” significa “più porte o più finestre” aperte verso il mondo esterno. La con-

seguenza è quindi l’aumento di attacchi, a costi ridotti, rivolti a sottrarre informa-

zioni, dati e know-how fondamentali per le aziende.

S econdo rischio della Cybersecurity

Vi e poi un altro rischio indubbia-

mente meno evidente, ma altret-

tanto reale e con effetti potenzial-

mente altrettanto devastanti: i nostri siste-

mi informativi e soprattutto i nostri prodot-

ti, vengono utilizzati dagli “attaccanti” co-

me “basi di appoggio” da cui partire per sferrare attacchi devastanti verso altri

(es. clienti) esponendo quindi l’azienda a pagare danni e a subire conseguenze

in termini di immagine e di perdita di quote di mercato

I l terzo rischio è la mancata sensibi-lità al problema della sicurezza cyber. La componente umana, il cosiddetto man-in-the-middle è l’anello debole della catena e una

delle porte di accesso più facili e me-no costose da utilizzare da parte di un “attaccante” malevolo.

Prima Edizione 27

Cert i f icazioni

Dal 2013 sono socia e titolare della “Total

Service”, dirigendo la consulenza e la ge-

stione di tutti gli adempimenti inerenti la

Privacy Industriale e Societaria, oltre a for-

mare il personale delle imprese assistite

presso le loro sedi.

Nel 2012 ho conseguito il titolo di

“Consulente Privacy” e “Privacy Officer”

ottenendo la relativa certificazione TUV

(certificato N° CDP – 075). Nello stesso

anno sono stata nominata Delegata della

Provincia di Ancona per l’associazione Fe-

derPrivacy.

Nel 2014 sono entrata a far parte

dell’ASSO DPO, dopo aver ottenuto

l’apposita certificazione BUREAU VERITAS

come “Data Protection Officer”, conforme-

mente ai requisiti di competenza definiti

nel documento I&F– IT– CER-OPE REG-01-

DPO (certificato N°DPO-00026).

Nel 2015 ho conseguito la terza certifica-

zione come “Consulente WEB Privacy Po-

licy” in conformità al disciplinare DSC

12/30 (certificato N°02061510)

Nel 2017 ho conseguito la quarta certifica-

zione BUREAU VERITAS come "Privacy

Specialist" conformemente ai requisiti di

competenza definiti nel Regolamento (UE)

2016/679" (certificato N° GDPR 0001), uni-

tamente all'Attestato di Qualità e di Quali-

ficazione Professionale dei servizi prestati,

rilasciato ai sensi dell'art.7 della legge

4/2013.

Da Giugno del 2018 sono Delegata Regio-

nale dell'Associazione ASSO DPO.

Nel 2018 ho ottenuto l'incarico come DPO

e mi sono certificata conformemente ai

requisiti di competenza definiti nella nor-

ma UNI 11697:207 e nel documento

SCH73 di Cepas S.r.l. come Responsabile

della protezione dei dati (Data protection

officer) Certificato n° DPO0314

TOTAL SERVICE SRL

Viale della Vittoria 44 60035 Jesi (An)

Tel :0731696734

Email : info@totalserviceprivacy.com

www.totalserviceprivacy.com