consulenza cybersecurity forense gdpr dpo milano bergamo


INFORMAZIONI UTILI

CONSEGUENZE DIRETTE DEL GDPR

In data
16.03.2018 è stato varato il piano ispettivo del Garante che ha conferito al corpo della Guardia di Finanza il potere di eseguire gli accertamenti tecnici informatici previsti.
Trovate i dettagli qui :
https://bit.ly/2HZYrfK e qui: https://bit.ly/2pEmWaU (+38% sanzioni)

Talune attività tecniche (come per es. il
Pentesting), atte a valutare preventivamente il grado di violabilità di una rete informatica eseguendo attacchi mirati ed anonimi dall’esterno, possono essere eseguite a Vostra insaputa e senza alcun preavviso per valutare il grado di vulnerabilità della vostra rete informatica e/o per attuare exfiltrazione di documenti valide ai fini della dimostrazione dell’avvenuto Data Breach.

Esistono poi dei precisi obblighi giuridici per gli Amministratori/Operatori di Sistema, spesso sono poco conosciuti, che potete visionare al seguente link :
https://bit.ly/2pGRCcr

POSSIBILI ERRATE INTERPRETAZIONI DEL GDPR

Inoltre
il Regolamento GDPR è insidioso perchè può essere mal interpretato causando per questo indesiderate conseguenze.

Cito di seguito 2 semplici e tipici casi a titolo di esempio:

[CASO 1]

Taluni sostengono che: “
esso (il regolamento GDPR) non si applica laddove sono presenti meno di 250 dipendenti” => Ciò è assolutamente sbagliato!!!

L’art. 30 al comma 5 riporta solo che “
Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti”.

Leggendo con attenzione il regolamento è palese che l'esenzione prevista riguarda solo il trattamento dei registri e non l'applicazione di tutto il regolamento.
Mente chi dice il contrario, dimostrando di non avere adeguate conoscenze in materia.

In ogni caso tutti gli altri obblighi ed il resto del Regolamento si applicano sempre e comunque a tutti coloro che trattano dati sensibili o che hanno già implementato le procedure della privacy indipendentemente dal numero di dipendenti!!!.
Potete trovare ulteriori approfondimenti su questo articolo a questo link :
https://bit.ly/2JME33C

Se avete implementato la privacy, o la Legge 231 o eventuali certificazioni ISO e/o, molto più semplicemente, trattate dati sensibili di terzi => allora rientrate nell’ambito di applicazione del GDPR

[CASO 2]

Taluni sostengono che la “
la scelta della figura del DPO (Data Protector Officer) sia preferibilmente riconducibile in capo ad un professionista anche non informatico” => Tale scelta, oltre che discutibile, è anche sbagliata!!!

Và precisato che
il Regolamento non prevede titoli o iscrizioni ad Albi per la figura del DPO, chiunque può fare il DPO purchè abbia i requisiti tecnici minimi richiesti.

E’ invece espressamente richiesto invece all’
Art.37 comma 5 che il DPO sia “designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”.

I compiti del DPO, meglio descritti all’
Art.39, sono: “informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento; sorvegliare l’osservanza del regolamento; formare il personale che partecipa ai trattamenti e alle connesse attività di controllo; fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35; cooperare con l’autorità di controllo; fungere da punto di contatto per l’autorità di controllo; considera debitamente i rischi inerenti al trattamento

Come ben comprendete, la natura di questi compiti è riconducibile ad aspetti meramente tecnici specialistici di sicurezza informatica anche perchè
l’obiettivo primario del Regolamento è la protezione del dato digitale (il dato cartaceo è già al sicuro e non rientra di certo nell’ambito del c.d. Data Breach vedere => https://bit.ly/2vgVsOG ).

Il DPO può essere nominato scegliendolo tra i propri dipendenti oppure nominando un consulente esterno.

IL CONSULENTE TECNICO FORENSE DI PARTE (CTP)

Il
Consulente Tecnico Forense è particolarmente utile - o addirittura necessario - quando il contendere, che si basa su documenti e/o sistemi elettronici/informatici, sfocia in Giudizio attraverso un procedimento contenzioso (licenziamento, furto di informazioni, concorrenza sleale, violazione dei dati e/o dei server o delle altre postazioni, blocco dei servizi, ecc).

In questi casi davanti all'Autorità bisogna esporre delle prove legalmente valide per come previsto dalla Convenzione di Dudapest del 2008.
Diversamente si perde solo tempo e, generalmente, si perde anche la causa.

Più in generale il Consulente Forense ha anche l'importante utilità di riportare, in termini semplici ma rigorosi, gli aspetti tecnici informatici come quando ciò viene fatto all'interno di un procedimento ed il CTU trasferisce al Giudice ed alle parti le risposte al quesito ricevuto per permettere al Giudice di dirimere il contenzioso.

Chiedete pure ai Vostri professionisti legali tutte le indicazioni di merito su tali aspetti.



Potete trovare ulteriori informazioni utili periodicamente aggiornate qui:
https://bit.ly/2GZ2HAc