Responsabile trattamento dati

Il responsabile del trattamento dati personali, chi é?

Responsabile del trattamento dati è qualunque soggetto che tratta dati personali per conto del titolare, su sua istruzione e sotto la sua autorità. Per comprendere a pieno questa definizione, occorre fare un passo indietro e spiegare chi è il titolare.

In ambito privacy si distinguono tre ruoli fondamentali: interessato, titolare del trattamento e responsabile del trattamento.

L’interessato è la persona fisica a cui i dati personali si riferiscono.

Il titolare è quel soggetto giuridico che tratta i dati personali degli interessati determinandone le finalità. Ad esempio, una società è titolare del trattamento dei dati dei propri dipendenti, dei propri clienti, dei propri fornitori, degli utenti del suo sito etc. Il titolare può essere una persona fisica (es. un libero professionista o una impresa individuale) oppure una società, un’associazione etc. Titolare è in questi casi la società stessa oppure l’ente e non il suo legale rappresentante.

Per trattare questi dati, il titolare si serve in primo luogo dei propri dipendenti, che di conseguenza devono essere autorizzati. Inoltre, si affida anche a soggetti esterni all’azienda, che trattano alcuni dati per suo conto. Si pensi al consulente del lavoro, al medico competente ed all’RSPP, i quali trattano per conto del datore di lavoro (titolare) i dati dei suoi dipendenti (interessati). Così come il titolare, anche il responsabile trattamento dati può essere sia una persona fisica che una persona giuridica.

Responsabile esterno ed interno e responsabile della protezione dati: facciamo un po’ di chiarezza!

In base a quanto stabilito nel GDPR, il responsabile del trattamento (processor) è, per definizione, un soggetto esterno.

Prima del 25 maggio 2018, in Italia si era diffusa la prassi di nominare dei responsabili del trattamento interni all’azienda. In realtà, si trattava di un’anomalia, che mai era stata prevista dalla normativa europea e che probabilmente derivava dalla non “felicissima” scelta di tradurre il termine inglese processor con quello di responsabile del trattamento. Il responsabile interno era in sostanza un dipendente che si assumeva il compito di gestire ed organizzare la privacy all’interno dell’azienda. Con l’entrata in vigore del GDPR, non è necessario che questa figura scompaia ma è consigliabile definirla in altro modo (es. referente privacy), per non rischiare di fare confusione con il responsabile del trattamento, che è solo e soltanto esterno.

Un altro ruolo che, a causa della traduzione italiana, suscita spesso confusione è quello del responsabile della protezione dei dati (RPD). Questo soggetto non va confuso con il responsabile del trattamento. Si tratta piuttosto del ruolo più comunemente conosciuto con il termine inglese Data Protection Officer (DPO). Per maggiori dettagli su questa nuova figura rimando all’articolo “DPO (Data Protection Officer): chi è e chi deve assumerlo“.

Come individuare un responsabile del trattamento dati personali

Come si fa a capire quando un soggetto tratta dati personali in qualità di responsabile del trattamento oppure in qualità di titolare?

Per capirlo possiamo prendere come riferimento l’esempio tipico del consulente del lavoro. Quando tratta i dati personali dei dipendenti dei propri clienti per elaborare le buste paga, il consulente del lavoro opera in qualità di responsabile trattamento dati. In questo caso, egli non sta trattando i dati per suo conto ma per conto del suo cliente. Il consulente del lavoro può a sua volta avere dei dipendenti propri. Quando tratta i loro dati personali, non lo fa in qualità di responsabile bensì di titolare del trattamento.

Il responsabile del trattamento è in sostanza un outsourcer. Si tratta di un soggetto esterno all’impresa, che tratta dati personali non per suo conto ma per conto dell’impresa sua cliente.

Chi sono i responsabili esterni di un’impresa?

Lo stesso ragionamento visto sopra può essere applicato a tutti gli altri professionisti o società esterne a cui un’impresa si affida per lo svolgimento di determinati servizi.

Con riferimento ai trattamenti dei dati personali dei dipendenti, sono responsabili il consulente del lavoro e l’RSPP, se esterno. Lo stesso commercialista ha spesso bisogno di trattare dati personali dei dipendenti delle società sue clienti. In alcuni casi, possono essere responsabili del trattamento dati le società che forniscono servizi di formazione al personale oppure consulenza in materie di sicurezza ed igiene sul lavoro. Non è invece responsabile il medico competente, il quale opera come titolare autonomo del trattamento.

Altri esempi di responsabili del trattamento sono i fornitori di servizi informatici. Il tecnico che ha un accesso costante, spesso anche da remoto, al sistema informatico del proprio cliente, deve essere nominato responsabile del trattamento. Lo stesso vale per la software house che ha accesso ai dati contenuti nel gestionale, all’hosting provider che ospita i dati, a chi fornisce un servizio di back-up in cloud etc. In tutti questi casi è necessario distinguere chi interviene solo sporadicamente sui sistemi informativi da coloro che hanno con l’impresa un rapporto costante e continuativo. Nel primo caso possono essere sufficienti delle mere autorizzazioni, mentre nel secondo è necessario stipulare un contratto di nomina a responsabile del trattamento.

---

Si veda anche “Privacy in Cloud Computing: come proteggere i dati sulla nuvola“.

---

In ambito marketing, operano come responsabili del trattamento le web agencies, chi gestisce il sito web e le pagine social dei propri clienti, le società di telemarketing etc.

E  l’avvocato allora?

La distinzione fra responsabile trattamento dati e titolare non è sempre chiara come nei casi sopra menzionati. In alcune ipotesi, come quella dell’avvocato, occorre approfondire il tipo di rapporto che si instaura fra cliente e professionista.

Nel mio caso, ad esempio, quando svolgo per conto dei miei clienti il ruolo di consulente privacy, mi faccio sempre nominare come responsabile del trattamento dati. Ciò perché, per poter fornire il servizio, ho bisogno di trattare alcuni dati dei loro dipendenti, clienti e fornitori. Devo infatti conoscere nome, cognome e mansioni del personale per poter redigere le lettere d’incarico e predisporre un’organigramma privacy. Devo conoscere i dati dei loro fornitori per effettuare le mappature dei flussi e predisporre le nomine dei soggetti esterni. Talvolta devo conoscere alcuni dati dei loro clienti per predisporre i registri etc.

In questo caso, anche se avvocato, agisco indubbiamente in qualità di responsabile esterno, esattamente come un consulente del lavoro o un commercialista.

La questione è invece un po’ più complicata quando assisto un cliente in una controversia stragiudiziale o giudiziale. Anche in tale ipotesi posso venire in contatto con dati personali dei suoi dipendenti (ad esempio per predisporre le testimonianze) oppure di suoi clienti o fornitori. Tuttavia, a mio parere, in queste ipotesi il mio ruolo non è quello di responsabile esterno, bensì di titolare autonomo del trattamento. Ciò in quanto sono io a determinare le finalità e le modalità di trattamento dei dati che il cliente mi fornisce. Nel trattarli, non seguo e non posso essere obbligato a seguire le sue istruzioni, bensì devo poter operare in autonomia.

La nomina del responsabile trattamento dati (Data Protection Agreement)

Una volta compreso chi sono i responsabili del trattamento, occorre capire che cosa bisogna fare.

L’art. 28 del GDPR obbliga il titolare ed il responsabile a concludere un contratto che disciplini la materia, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, i loro obblighi e diritti.

Non si tratta di un atto unilaterale di nomina ma di un vero e proprio contratto stipulato fra due parti. Chi è dunque a dover redigere e proporre il contratto, il titolare o il responsabile? Non vi è una regola per questo. Idealmente, ogni contratto dovrebbe essere negoziato e predisposto in accordo fra le parti. Tuttavia, ci rendiamo conto che questo non è sempre possibile. Vi immaginate Google o Amazon che negoziano con una piccola impresa il contratto che li nomina responsabili del trattamento?

Quando mi trovo ad assistere soggetti che ricoprono il ruolo di responsabili esterni per i loro clienti (come software house, web agency o fornitori di servizi informatici), il mio consiglio è quello di adeguare la loro contrattualistica e predisporre un contratto standard per la nomina a responsabili del trattamento. Se non lo fanno, saranno i clienti ad inviare loro i contratti redatti dai rispettivi consulenti privacy (più o meno improvvisati) ed a pretenderne la firma. Per una software house con centinaia o migliaia di clienti diventa di fatto impossibile gestire contratti diversi per ciascuno. Di conseguenza si troverà a firmare, spesso senza saperlo, cose senza senso od obbligazioni impossibili da adempiere.

Il mio consiglio è quindi quello di adeguare immediatamente al GDPR la contrattualistica che si sottopone ai propri clienti, prevedendo anche la nomina come responsabili del trattamento. Spetterà invece al cliente che abbia esigenze particolari fornire istruzioni che integrino quelle standard contenute nel contratto o chiedere delle modifiche.

L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia

Software house e GDPR

Software house e GDPR: consigli e adempimenti

Software house e GDPR sono strettamente interconnessi. Il GDPR ha rivoluzionato completamente l’approccio alla privacy. Non c’è dubbio che questa nuova normativa interessi chiunque, perché è impossibile svolgere attività d’impresa senza trattare dati personali. Ciò non toglie che con l’avvicinarsi del 25 Maggio 2018 si siano scatenate delle reazioni spesso ingiustificate. Non tutte le imprese infatti trattano i dati allo stesso modo e sono poche quelle che dovranno operare stravolgimenti per adattarsi al GDPR. Fra di esse ci sono senza dubbio le software house.

Quando cerco di spiegare ad una software house l’importanza di adeguarsi al GDPR, dico sempre che la paura di subire sanzioni deve essere l’ultima delle motivazioni. A sanzionare una software house che decida di ignorare il GDPR non ci penserà il Garante ma il mercato stesso. Al contrario, una software house che dimostri di trattare i dati personali in modo adeguato potrà ottenere un incredibile vantaggio concorrenziale. Vediamo perché.

La software house come responsabile esterno del trattamento

In materia di privacy si distinguono due ruoli fondamentali: il titolare del trattamento ed il responsabile del trattamento. Titolare è il soggetto che decide le finalità e le modalità del trattamento. Diversamente, il responsabile è quel soggetto esterno che tratta i dati per conto del titolare, seguendone le istruzioni.

Solitamente, la software house assume il ruolo di responsabile esterno del trattamento dati. Conformemente all’art. 28 Reg. UE 2016/679, dovrà essere designata ed istruita mediante un contratto scritto. Ciò vale senza alcun dubbio quando viene fornito un software in modalità Cloud SaaS (si veda “Privacy in Cloud Computing: come proteggere i dati sulla nuvola“). In questo caso, il titolare esternalizza il trattamento automatizzato dei propri dati verso la software house e pertanto non può esimersi dal nominarla come responsabile esterno, né quest’ultima può esimersi dal farsi nominare. Anche nei casi in cui viene fornita una licenza d’uso in modalità “on premise”, la software house tratta comunque i dati del titolare. Si pensi alla fornitura dei servizi di assistenza, aggiornamento e manutenzione del software, che possono comportare accesso ai dati anche da remoto (tramite VPN o teamviewer).

In tutti questi casi la software house deve fare attenzione a contrattualizzare in maniera adeguata le modalità di trattamento dei dati personali.

Il GDPR come vantaggio concorrenziale per una software house

Principio fondamentale del GDPR è quello di responsabilizzazione (accountability). Il titolare del trattamento è responsabile non soltanto di come lui stesso tratta i dati. Egli deve preoccuparsi anche di come vengono trattati i dati dai suoi responsabili esterni.

Nel momento in cui un titolare si affida ad una software house, deve svolgere una due diligence ed accertarsi che vengano fornite adeguate garanzie di protezione dei dati personali. Non soltanto, il titolare deve anche svolgere degli audit periodici, per verificare che la software house tratti i dati in maniera conforme al GDPR ed a quanto dichiarato nel contratto di designazione a responsabile esterno. Se non lo fa, il titolare diviene direttamente responsabile per culpa in eligendo ed in vigilando.

Alla luce di ciò, si comprende bene il vantaggio concorrenziale che può ottenere una software house che dimostri di essere conforme al GDPR. Contrariamente, una software house che non si adegui alle nuove normative, rischia di non poter più essere scelta dai propri clienti e partner commerciali.

L’importanza delle certificazioni e dei codici di condotta per una software house  

Come spiegato sopra, nel momento in cui un titolare sceglie una software house, deve effettuare una due diligence per assicurarsi che tratti i dati in maniera conforme al GDPR. Allo stesso modo, dovrebbe effettuare su questa società ispezioni ed audit periodici, per verificare che la conformità sia mantenuta nel tempo.

Se questo è vero in teoria, nella pratica ciò è spesso difficile da attuare. Gli imprenditori hanno altro a cui pensare. Molti di loro hanno già problemi ad adeguare la propria azienda alla nuova normativa, figuriamoci se trovano il tempo e le risorse per verificare che anche i loro responsabili esterni si siano adeguati.

Una soluzione a questo problema può essere data dalle certificazioni e dai codici di condotta, di cui agli artt. 40 e ss. Reg. 2016/679. Il fatto che una software house abbia ottenuto una certificazione privacy oppure aderisca ad un codice di condotta, rappresenta di per sé una grossa garanzia di adeguatezza per il titolare che la sceglie. Ad oggi non ci sono ancora certificazioni o codici di condotta ufficiali. Tuttavia, non appena usciranno, potranno rappresentare un sicuro vantaggio concorrenziale per le software house che li adotteranno.

Per arrivare pronti al momento in cui usciranno le prime certificazioni ed i primi codici di condotta, una software house deve iniziare a lavorare sin da adesso. Diversamente, rischia di non restare al passo con il mercato.

Pensare al GDPR nello sviluppo dei software: privacy by design e by default

Oltre all’accountability, principi fondamentali del GDPR sono quelli di privacy by design e privacy by default. Nel mondo del software, privacy by design significa che bisogna iniziare a porsi il problema del trattamento dei dati personali sin dalla fase di progettazione. Privacy by default significa che deve essere previsto di default il maggior livello di protezione possibile, senza costringere l’utente a comportamenti attivi per innalzarlo.

Un software, soprattutto un gestionale, che si conformi a questi principi, avrà anch’esso un vantaggio incredibile sulla concorrenza. Infatti, la maggior parte dei dati aziendali vengono trattati mediante i software gestionali. Un software che preveda misure quali la pseudonimizzazione, la crittografia, la registrazione dei consensi, la registrazione dei log etc. facilita di molto il compito dell’imprenditore che intenda conformarsi al GDPR. Di conseguenza, nella scelta di un software gestionale, l’aspetto privacy giocherà un ruolo fondamentale.

---

Per conoscere le modalità per prevenire e gestire i data breach potete leggere l’articolo “Violazioni della privacy: come gestire un data breach“.

---

Conclusioni

Il GDPR e la privacy in generale sono visti dai più come un costo ed una scocciatura. Se c’è però una categoria che deve guardare al GDPR come ad un’opportunità di crescita è proprio quella delle software house. Coloro che hanno già iniziato a lavorare sulla privacy, nominando un DPO o affidandosi ad un professionista competente, potranno presto raccoglierne i frutti. Per le software house che invece trascureranno la materia del trattamento dei dati personali, le sanzioni del Garante saranno un rischio, quelle del mercato una certezza.

L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia

Software house e GDPR

Software house e GDPR: consigli e adempimenti

Software house e GDPR sono strettamente interconnessi. Il GDPR ha rivoluzionato completamente l’approccio alla privacy. Non c’è dubbio che questa nuova normativa interessi chiunque, perché è impossibile svolgere attività d’impresa senza trattare dati personali. Ciò non toglie che con l’avvicinarsi del 25 Maggio 2018 si siano scatenate delle reazioni spesso ingiustificate. Non tutte le imprese infatti trattano i dati allo stesso modo e sono poche quelle che dovranno operare stravolgimenti per adattarsi al GDPR. Fra di esse ci sono senza dubbio le software house.

Quando cerco di spiegare ad una software house l’importanza di adeguarsi al GDPR, dico sempre che la paura di subire sanzioni deve essere l’ultima delle motivazioni. A sanzionare una software house che decida di ignorare il GDPR non ci penserà il Garante ma il mercato stesso. Al contrario, una software house che dimostri di trattare i dati personali in modo adeguato potrà ottenere un incredibile vantaggio concorrenziale. Vediamo perché.

La software house come responsabile esterno del trattamento

In materia di privacy si distinguono due ruoli fondamentali: il titolare del trattamento ed il responsabile del trattamento. Titolare è il soggetto che decide le finalità e le modalità del trattamento. Diversamente, il responsabile è quel soggetto esterno che tratta i dati per conto del titolare, seguendone le istruzioni.

Solitamente, la software house assume il ruolo di responsabile esterno del trattamento dati. Conformemente all’art. 28 Reg. UE 2016/679, dovrà essere designata ed istruita mediante un contratto scritto. Ciò vale senza alcun dubbio quando viene fornito un software in modalità Cloud SaaS (si veda “Privacy in Cloud Computing: come proteggere i dati sulla nuvola“). In questo caso, il titolare esternalizza il trattamento automatizzato dei propri dati verso la software house e pertanto non può esimersi dal nominarla come responsabile esterno, né quest’ultima può esimersi dal farsi nominare. Anche nei casi in cui viene fornita una licenza d’uso in modalità “on premise”, la software house tratta comunque i dati del titolare. Si pensi alla fornitura dei servizi di assistenza, aggiornamento e manutenzione del software, che possono comportare accesso ai dati anche da remoto (tramite VPN o teamviewer).

In tutti questi casi la software house deve fare attenzione a contrattualizzare in maniera adeguata le modalità di trattamento dei dati personali.

Il GDPR come vantaggio concorrenziale per una software house

Principio fondamentale del GDPR è quello di responsabilizzazione (accountability). Il titolare del trattamento è responsabile non soltanto di come lui stesso tratta i dati. Egli deve preoccuparsi anche di come vengono trattati i dati dai suoi responsabili esterni.

Nel momento in cui un titolare si affida ad una software house, deve svolgere una due diligence ed accertarsi che vengano fornite adeguate garanzie di protezione dei dati personali. Non soltanto, il titolare deve anche svolgere degli audit periodici, per verificare che la software house tratti i dati in maniera conforme al GDPR ed a quanto dichiarato nel contratto di designazione a responsabile esterno. Se non lo fa, il titolare diviene direttamente responsabile per culpa in eligendo ed in vigilando.

Alla luce di ciò, si comprende bene il vantaggio concorrenziale che può ottenere una software house che dimostri di essere conforme al GDPR. Contrariamente, una software house che non si adegui alle nuove normative, rischia di non poter più essere scelta dai propri clienti e partner commerciali.

L’importanza delle certificazioni e dei codici di condotta per una software house  

Come spiegato sopra, nel momento in cui un titolare sceglie una software house, deve effettuare una due diligence per assicurarsi che tratti i dati in maniera conforme al GDPR. Allo stesso modo, dovrebbe effettuare su questa società ispezioni ed audit periodici, per verificare che la conformità sia mantenuta nel tempo.

Se questo è vero in teoria, nella pratica ciò è spesso difficile da attuare. Gli imprenditori hanno altro a cui pensare. Molti di loro hanno già problemi ad adeguare la propria azienda alla nuova normativa, figuriamoci se trovano il tempo e le risorse per verificare che anche i loro responsabili esterni si siano adeguati.

Una soluzione a questo problema può essere data dalle certificazioni e dai codici di condotta, di cui agli artt. 40 e ss. Reg. 2016/679. Il fatto che una software house abbia ottenuto una certificazione privacy oppure aderisca ad un codice di condotta, rappresenta di per sé una grossa garanzia di adeguatezza per il titolare che la sceglie. Ad oggi non ci sono ancora certificazioni o codici di condotta ufficiali. Tuttavia, non appena usciranno, potranno rappresentare un sicuro vantaggio concorrenziale per le software house che li adotteranno.

Per arrivare pronti al momento in cui usciranno le prime certificazioni ed i primi codici di condotta, una software house deve iniziare a lavorare sin da adesso. Diversamente, rischia di non restare al passo con il mercato.

Pensare al GDPR nello sviluppo dei software: privacy by design e by default

Oltre all’accountability, principi fondamentali del GDPR sono quelli di privacy by design e privacy by default. Nel mondo del software, privacy by design significa che bisogna iniziare a porsi il problema del trattamento dei dati personali sin dalla fase di progettazione. Privacy by default significa che deve essere previsto di default il maggior livello di protezione possibile, senza costringere l’utente a comportamenti attivi per innalzarlo.

Un software, soprattutto un gestionale, che si conformi a questi principi, avrà anch’esso un vantaggio incredibile sulla concorrenza. Infatti, la maggior parte dei dati aziendali vengono trattati mediante i software gestionali. Un software che preveda misure quali la pseudonimizzazione, la crittografia, la registrazione dei consensi, la registrazione dei log etc. facilita di molto il compito dell’imprenditore che intenda conformarsi al GDPR. Di conseguenza, nella scelta di un software gestionale, l’aspetto privacy giocherà un ruolo fondamentale.

---

Per conoscere le modalità per prevenire e gestire i data breach potete leggere l’articolo “Violazioni della privacy: come gestire un data breach“.

---

Conclusioni

Il GDPR e la privacy in generale sono visti dai più come un costo ed una scocciatura. Se c’è però una categoria che deve guardare al GDPR come ad un’opportunità di crescita è proprio quella delle software house. Coloro che hanno già iniziato a lavorare sulla privacy, nominando un DPO o affidandosi ad un professionista competente, potranno presto raccoglierne i frutti. Per le software house che invece trascureranno la materia del trattamento dei dati personali, le sanzioni del Garante saranno un rischio, quelle del mercato una certezza.

Amministratore di Sistema

Amministratore di sistema

L’amministratore di sistema è la figura professionale che si occupa di gestire e manutenere il sistema informatico di un’impresa. Ai fini della normativa privacy, vengono considerati amministratori di sistema anche coloro che gestiscono banche dati, reti informatiche, apparati di sicurezza o software complessi.

Non deve stupire il fatto che la figura dell’amministratore di sistema sia centrale per la tutela della privacy. Infatti, questo soggetto ha un accesso privilegiato a tutti i dati personali trattati dall’impresa. L’amministratore di sistema si occupa inoltre delle misure di sicurezza, quali back-up, disaster ricovery, installazione ed aggiornamento di antivirus e firewall, gestione delle credenziali e dei sistemi di autenticazione ed autorizzazione.

Per questi motivi, un imprenditore deve scegliere con estrema cura l’amministratore di sistema ed applicare una serie di cautele affinché la sua attività sia controllata. Il Garante per la protezione dei dati personali si è occupato del ruolo dell’amministratore di sistema nel provvedimento del 27 Novembre 2008, modificato il 25 Giugno 2009.

Quando si ha un amministratore di sistema?

L’amministratore di sistema può essere un soggetto sia interno all’azienda, che esterno.

Le società più strutturate che si avvalgono di sistemi informatici complessi spesso hanno fra il loro personale un responsabile IT. Diversamente, piccole e medie imprese si rivolgono più spesso a tecnici esterni per manutenere i propri sistemi informatici.

Non tutti i tecnici informatici sono però amministratori di sistema. Non rientrano in questa definizione quei soggetti che solo occasionalmente operano su un sistema informatico per manutenzione oppure per risolvere un guasto. Diversamente, possono essere amministratori di sistema coloro che sono in grado di accedere in ogni momento, anche da remoto, ad un sistema informatico. Anche in questi casi, la nomina come amministratore di sistema non è una conseguenza automatica. Essa deve essere valutata caso per caso a seconda dei compiti e delle autorizzazioni attribuite.

La nomina di un amministratore di sistema può infatti essere evitata per quelle imprese che si limitano a trattare dati personali comuni per ordinarie finalità amministrativo-contabili. In sostanza, non ne hanno bisogno le imprese che non trattano dati sensibili, giudiziari o di traffico telefonico ma si limitano a trattamenti ordinari ed a basso rischio, quali la gestione della contabilità, dei dipendenti, acquisto di materiali di consumo, gestione del parco auto etc.

Obblighi con riferimento agli amministratori di sistema

L’imprenditore che decida di nominare un amministratore di sistema ha innanzi tutto l’obbligo di valutarne preventivamente l’esperienza, la capacità e l’affidabilità. Il ruolo deve inoltre essere affidato ad una persona ben individuata e non ad una società, i cui riferimenti devono essere riportati in un documento interno da mostrare al Garante in caso di sopralluogo. Qualora l’amministratore di sistema tratti anche i dati personali dei dipendenti di una società, questi ultimi devono essere messi a conoscenza della sua identità.

L’attività dell’amministratore di sistema deve essere verificata con cadenza almeno annuale dal titolare del trattamento. Affinché ciò sia possibile, i suoi accessi al sistema informatico (access log) devono essere registrati e conservati per almeno sei mesi. Le registrazioni devono essere complete, inalterabili e verificabili.

Verifica dell’attività dell’amministratore di sistema

La verifica annuale dell’attività dell’amministratore di sistema si esaurisce sostanzialmente nel controllo degli access log. Gli eventi generati dai sistemi di autenticazione devono contenere l’username utilizzato, data, ora e luogo dell’accesso, descrizione dell’evento (software e dispositivo usati, errori, se si tratta di logs-in o logs-out etc.). I sistemi più complessi permettono altresì di registrare le azioni eseguite sui dati. In base al principio di accountability, divenuto centrale con il GDPR, l’imprenditore dovrà verificare le attività dell’amministratore di sistema con un livello di profondità commisurato al rischio.

La contrattualizzazione dell’amministratore di sistema

Quando l’amministratore di sistema è un dipendente della società, egli non sarà altro che un incaricato del trattamento dotato di particolari autorizzazioni. Sebbene la nomina scritta degli incaricati del trattamento non sia obbligatoria per il GDPR, essa è fortemente consigliata in considerazione del principio dell’accountability, nonché tuttora richiesta da numerosi provvedimenti del Garante.

Diversamente, quando il ruolo di amministratore di sistema viene affidato in outsourcing ad un soggetto esterno, questo dovrà considerarsi altresì un responsabile del trattamento. In considerazione di ciò, il titolare dovrà vincolare l’amministratore di sistema con un contratto scritto, contenente tutti i requisiti richiesti dall’art. 28 Reg. UE 2016/679.

Conclusioni

Nell’articolo “Software house e GDPR: perché è fondamentale adeguarsi” ho sottolineato l’importanza rivestita dalla normativa sulla privacy per quelle imprese che si occupano di informatica. In particolare, mi riferisco a tutte quelle società che si occupano della manutenzione dei sistemi hardware e software dei loro clienti.

L’importanza di adeguarsi al GDPR per questi soggetti non è data soltanto dalla necessità di evitare le sanzioni ma anche e soprattutto da quella di restare competitivi sul mercato. Infatti, ogni volta in cui un titolare del trattamento decida di affidare in outsourcing la manutenzione dei propri sistemi informatici, deve assicurarsi che il soggetto incaricato garantisca un’adeguata protezione ai suoi dati personali. Ciò vale a maggior ragione per l’amministratore di sistema. Egli ha in mano tutti i dati personali dell’impresa, pertanto i titolari non potranno rivolgersi a soggetti che non rispettino le norme sulla privacy o non forniscano adeguate garanzie di sicurezza.

Quest’opera è distribuita da ipRights con Licenza Creative Commons Attribuzione 3.0 Italia

GDPR

Il GDPR (General Data Protection Regulation)

GDPR… Ormai se ne sente parlare persino al bar. Su internet si trovano siti web con il conto alla rovescia, quasi si trattasse di un nuovo Millennium Bug o di una nuova scadenza sul calendario Maya.

25 Maggio 2018. E’ questa la fatidica data in cui il nuovo Regolamento Europeo in materia di privacy è diventato obbligatorio per tutti gli Stati Membri.

Sanzioni fino a 20 milioni di euro o fino al 4% del fatturato per chi non lo rispetta. Si tratta di numeri capaci di mettere in ginocchio anche i più grossi colossi mondiali. Il messaggio che la Commissione Europea ha voluto dare è dunque chiaro: con i dati non si scherza. Non si tratta di una normativa da dimenticare in qualche cassetto ma da tenere bene in vista sulla scrivania.

In questo articolo tratterò gli aspetti principali del GDPR. Nelle settimane e nei mesi successivi tornerò più volte sull’argomento per affrontare questioni più specifiche. L’obiettivo è quello di generare consapevolezza su quella che è la materia della protezione dei dati ed provvedere all’adeguamento al più presto.

GDPR: onere od opportunità?

Diciamoci la verità. Sino ad oggi la normativa sulla privacy è stata vista dai più come una inutile rottura di scatole. Informative e scartoffie da firmare che nessuno ha mai letto; notificazioni al Garante; banner per i cookie; ostacoli in ogni progetto. Tutto questo per cosa? La nostra casella e-mail è invasa da spam; il telefono continua a squillare per offerte che non vogliamo; le pubblicità su Internet riflettono i nostri gusti personali e le nostre foto più imbarazzanti si trovano su Facebook alla mercé di chiunque.

Sino ad oggi, la domanda che molti si ponevano per verificare di essere in regola con la privacy era: hai fatto firmare l’informativa? Una volta eseguito questo automatico adempimento il più era fatto. Ma facciamoci alcune domande: in quante aziende le password dei computer dei dipendenti si trovano su un post-it attaccato allo schermo? In quanti studi legali i fascicoli con i dati sensibili dei clienti si trovano in bella vista sui tavoli, accessibili anche all’addetto alle pulizie? In una delle mie esperienze lavorative, non nego di essermi imbattuto una volta in un documento stampato su carta riciclata ove sul retro vi erano parti di una cartella clinica.

Il GDPR vuole cambiare tutto questo. L’informativa firmata non salva più nessuno se il dato personale non è trattato con il rispetto che merita. Meno scartoffie inutili e più concretezza dunque. I dati personali vanno protetti e bisogna farlo nel miglior modo possibile.

E’ vero. Le sanzioni fanno paura e ci sarà molto da fare. Ma siamo sicuri che il GDPR non rappresenti un’opportunità per le aziende? Essere “privacy compliant” può diventare per un’azienda, per uno studio professionale, per un software etc. un valore aggiunto. Aldilà dei singoli adempimenti, sono dunque la mentalità e l’approccio che abbiamo nei confronti dei dati personali che devono cambiare radicalmente.

Il GDPR chi interessa? … Tutti!

Per capire perché il GDPR non deve essere una preoccupazione esclusiva delle grandi aziende ma interessa tutti indistintamente, occorre comprendere l’oggetto della sua protezione: il dato personale.

Dato personale è qualsiasi informazione relativa ad una persona fisica che sia identificata o identificabile anche indirettamente[1].

Da questa definizione si evince che i dati delle persone giuridiche, quali società o associazioni, non rientrano nella normativa. Poco cambia in realtà, poiché le persone giuridiche sono formate da persone fisiche, quali i dipendenti, gli amministratori etc., le cui informazioni sono dati personali.

E’ dato personale qualsiasi informazione, purché il soggetto a cui si riferisce sia identificabile anche in via indiretta. Ad esempio, è dato personale l’indirizzo IP dinamico, quando sia possibile risalire al soggetto che lo sta usando tramite informazioni aggiuntive in possesso dell’Access Provider [2].

A titolo esemplificativo. Se invio ad un mio amico un SMS di questo tenore: “stasera qui a Firenze è prevista pioggia, credo che resterò in casa a vedermi la partita della Fiorentina su Sky“, sto trasmettendo molti dati personali. Da questo messaggio si ottengono le seguenti informazioni: vivo a Firenze; sono tifoso della Fiorentina; posseggo un televisore; sono abbonato Sky; questa sera mi troverò in casa. L’amico che riceve il mio messaggio non dovrà certo farmi firmare un’informativa privacy, ma se questi dati finissero in mano ad una società di telecomunicazioni, sarebbero di per sé sufficienti a profilarmi per finalità di marketing.

Ecco dunque che, quando otteniamo informazioni di questo tipo al di fuori della nostra vita privata, dovremo sempre porci il problema di come le stiamo trattando.

Che cosa si intende per trattamento?

Per trattamento si intende qualunque operazione concernente: la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnesione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati. In poche parole… tutto!

Cosa cambia con il GDPR?

Le numerose novità che interessano il nuovo Regolamento Europeo in materia di Privacy possono essere riassunte in 5 punti fondamentali:

• il principio dell’Accountability;
• Privacy by Design e by Default;
• la Data Protection Impact Assessment;
• la figura del DPO (Data Protection Officer);
• la Data Breach Notification.

Il principio dell’Accountability (art. 5, comma 2 Reg. UE 2016/679)

Accountability si traduce in italiano con principio di responsabilizzazione del titolare del trattamento. Più corretto sarebbe invece parlare di responsabilizzazione e capacità di dimostrazione.

Il trattamento dei dati personali viene considerato attività pericolosa ai sensi dell’art. 2050 c.c.[3]. Il titolare del trattamento ne è responsabile e deve essere in grado di dimostrare di aver fatto tutto il possibile per trattare il dato in conformità con il Regolamento. L’imprenditore deve prendere consapevolezza dei dati trattati e dei rischi. In conseguenza di ciò, deve decidere quali sono le misure di sicurezze adeguate per la sua azienda.

Il titolare dovrà dotarsi di un modello di gestione privacy che sia in grado di mostrare come tratta i dati personali in conformità al Regolamento. Esso potrà essere usato all’occorrenza in caso di verifica da parte dell’Autorità Garante.

Privacy by Design e by Default (art. 25 Reg. UE 2016/679)

Trattasi del principio in base al quale la privacy va tenuta in considerazione ed applicata sin dalla fase di progettazione di qualsiasi attività.

In parole semplici, ogniqualvolta si progetti una nuova attività che possa comportare l’acquisizione ed il trattamento di dati personali, bisogna tenere in considerazione la privacy. Occorrerà valutare fin dalla genesi quelli che saranno i dati raccolti, come verranno trattati, quali saranno i rischi e come porvi rimedio in conformità col Regolamento.

La Data Protection Impact Assessment (DPIA) (art. 35 Reg. UE 2016/679)

Diretta conseguenza dei suddetti principi di Accountability e Privacy by Design e by Default è la necessità di effettuare una valutazione di impatto sulla protezione dei dati.

Ogniqualvolta si dà inizio ad un nuovo trattamento, è necessario preventivare l’impatto che ciò potrà avere sui dati personali ed i rischi che potrebbero verificarsi. Conseguentemente dovrà essere adottato un modello di gestione della privacy che elimini o riduca il più possibile l’impatto ed i rischi.

Il DPO – Data Protection Officer (artt. 37-39 Reg. UE 2016/679)

Il nuovo Regolamento Europeo Privacy introduce la figura del Data Protection Officer (DPO). Si tratta di un soggetto dotato di specifiche competenze, che dovrà occuparsi di sovrintendere il modello di gestione della privacy.

Fra gli altri compiti, il DPO dovrà verificare la corretta applicazione della normativa, collaborare con titolare e responsabile in caso di Data Breach e nella stesura delle DPIA, partecipare alle decisioni che riguardano i dati personali, collaborare con l’Autorità Garante.

L’assunzione o la nomina di un DPO è sempre consigliata per conformarsi al principio di Accountability. Trattasi invece di un adempimento obbligatorio nei seguenti casi:

• pubbliche amministrazioni ed organismi pubblici;
• soggetti le cui attività principali richiedano il monitoraggio regolare e sistematico di dati su larga scala (ad esempio società che gestiscono dati di profilazione per effettuare web marketing);
• soggetti le cui attività principali comportino il trattamento su larga scala di dati sensibili o relativi a condanne penali (ad esempio le cliniche private e le strutture sanitarie private).

Si veda anche “DPO (Data Protection Officer): chi è e chi deve assumerlo“.

La Data Breach Notification (art. 33 Reg. UE 2016/679)

Nel caso di un accesso illegittimo ad una banca dati o al sistema informatico, il titolare del trattamento (tramite il DPO se nominato) deve avvertire l’Autorità Garante della violazione. Ciò deve avvenire senza ingiustificato ritardo e comunque entro 72 ore dal momento in cui se ne è avuta conoscenza.

La notificazione dovrà contenere una descrizione della violazione e della quantità e qualità dei dati interessati; una valutazione sulle possibili conseguenze ed un descrizione degli adempimenti posti in essere per porvi rimedio.

Conclusioni

Quanto sopra descritto rappresenta soltanto una panoramica generale di quello che il GDPR comporterà. Per adeguarsi e restare al passo con i tempi occorre ripensare alla radice il concetto che abbiamo dei dati. Se qualcuno ci chiede quali carte dovrà far firmare ed una lista di adempimenti da porre in essere per adeguarsi al GDPR per poi non pensarci più, significa che non ha ben compreso il principio che sta alla base del nuovo Regolamento Europeo Privacy.

[1] Art. 4, comma 1, lett. b) Codice Privacy.
[2] CJEU, Breyer v. Bundesrepublik Deutschland, C-582/14.
[3] Art. 2050 c.c.: “Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno“.

L’articolo è tratto originalmente da ipRights pubblicato con Licenza Creative Commons Attribuzione 3.0 Italia

Freelancer o Web Agency?

La risposta breve è “dipende”.

Realizzare un sito web è spesso una operazione complessa che necessita di incontrare le esigenze del cliente con le difficoltà tecniche da superare, di conseguenza il prezzo di un sito web non è semplice da determinare senza una approfondita analisi.

A questo va aggiunta l’estrema variabilità dei prezzi, spesso non corrispondenti alla realtà: quando si trovano operatori che propongono siti web a 49 euro, mentre il costo un semplice template di personalizzazione è spesso è superiore, viene da chiedersi cosa può essere proposto per una cifra del genere.

Dall’altro lato ci sono le grandi web-Agency che spesso propongono prodotti e servizi sovradimensionati per le esigenze del cliente.

Come fare un confonto?

Qui di seguito riportiamo una semplice tabella di confronto a titolo di esempio, per capire in base alle proprie esigenze, se rivolgersi ad un freelancer o ad una web agency.

TIPO DI SITO	NUMERO INDICATIVO DI PAGINE	PREZZO FREELANCE	PREZZO PICCOLA WEB AGENCY	PREZZO GRANDE WEB AGENCY
Statico / vetrina (adatto come semplice presentazione aziendale)	2 – 5	400€	800€	N/C
Dinamico (CMS)	8-10 e oltre	800€	2.000€	+7.000€
Grande sito dinamico (CMS)	500 / 2000 e oltre	N/C	+25.000€	+60.000€
Con Applicazioni / funzioni specifiche	varia	N/C	N/C	+95.000€
Piccolo eCommerce	20 / 40 prodotti	1.000€	4.000€	N/C
eCommerce standard	100 / 1.000 prodotti	5.000€	+20.000€	+65.000€
Grande eCommerce	5.000 / 20.000+ prodotti	N/C	+75.000€	+120.000€

La sigla N/C indica “Non Conveniente”, ovvero che per la tipologia richiesta non conviene mai rivolgersi al corrispondente fornitore, in quanto il prodotto, per le caratteristiche indicate, si posiziona al di fuori del range di business del fornitore e per cui la soluzione proposta potrebbe risultare o eccessivamente onerosa o non sufficientemente ricompensata.

Vuoi avere un’offerta personalizzata?

Se vuoi avere una quotazione più precisa, compila il form sottostante e ti ricontattiamo per discuterne insieme.

[hubspot type=form portal=19507466 id=2f4089c6-e202-48e3-a015-9c653b8b15d4]

Il software ad Hoc

Perché software ad-hoc?

Perché ogni cliente ha le sue esigenze e problemi da risolvere che non potrebbero essere risolti con installazioni standard.

Il software ad-hoc è più costoso?

Normalmente realizzare un software ad-hoc può inizialmente avere dei costi maggiori, tuttavia dobbiamo anche considerare che essendo realizzato su misura per il cliente, andiamo a risolvere problematiche che altri software non possono risolvere, spesso permettendo il risparmio sul lungo periodo.

Si, ma quanto mi costa?

Questo dipende molto dalle esigenze richieste. Una volta raccolto i desiderata del cliente, si realizza uno schema di realizzazione in vari step che viene sottoposto al cliente per l’approvazione insieme al preventivo.