• Home
  • News
  • DPaaS e consulenze professionali: la ricetta perfetta per porsi al riparo dai data breach

DPaaS e consulenze professionali: la ricetta perfetta per porsi al riparo dai data breach

  • Giovedì, 08 Marzo 2018
DPaaS e consulenze professionali: la ricetta perfetta per porsi al riparo dai data breach

di Paolo Spagna, avvocato - Contributor D&L Department


Il 25 maggio 2018, data in cui il GDPR[1] acquisirà piena esecutività è ormai alle porte e con il suo avvicinarsi cresce la corsa all’adeguamento, in ambito sia pubblico, che privato.

La necessità di allineare le procedure di gestione e trattamento dei dati personali con quanto previsto dal Legislatore Europeo, ha determinato, per i soggetti che svolgono attività di trattamento, l’esigenza di mettere in atto misure tecniche e organizzative adeguate a tutelare i diritti dell’Interessato e a garantire un livello di sicurezza adeguato al rischio, anche in vista delle pesanti sanzioni amministrative previste che, è bene ricordarlo, ai sensi dell’art. 83, par. 5, del GDPR, possono arrivare fino 10 milioni di euro o, per le imprese, fino al 2% del fatturato annuo mondiale, in presenza di violazioni meno gravi, e fino a 20 milioni di euro o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, per le violazioni di maggiore gravità. Importi non da non trascurare, soprattutto in riferimento all’attuale livello di crescita economica del nostro Paese.

Nel valutare la necessità o l’ammontare della sanzione, saranno prese in considerazione, in particolare “le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati”[2] e “il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto”[3]. L’approccio dovrà pertanto basarsi su una rinnovata consapevolezza culturale e sull’adozione di misure e di strumenti adeguati per la salvaguardia del dato, specialmente con riferimento ai trattamenti svolti per via automatizzata o tramite tecnologie digitali.

Una soluzione di sicura utilità per sviluppare trattamenti “compliant” può essere rintracciata nell’utilizzo di soluzioni di “Data protection as a service” (DPaaS), ​​servizi di gestione centralizzati basati su cloud, che consentono di migliorare la sicurezza della rete, dei dati in transito e dei database. Analizzando i possibili utilizzi del DPaaS, assume sicuramente primaria importanza la possibilità di recuperare, nell’arco di poche ore, i dati persi o danneggiati (un backup tradizionale invece potrebbe richiedere giorni di attesa) a causa di errori di sistema o a una violazione dei dati personali (data breach).

Riguardo quest’ultima eventualità è bene far presente nel GDPR, sin dai Considerando[4], la disciplina relativa alla denuncia dei data breach particolare assume importanza. Tanto la “notifica di una violazione dei dati personali all'autorità di controllo”, quanto la “comunicazione di una violazione dei dati personali all'interessato”, previste rispettivamente negli artt. 33 e 34 del Regolamento, hanno un ambito di applicabilità non più circoscritto a determinati settori e/o trattamenti – come già previsto nel Codice Privacy e in alcuni provvedimenti del Garante per la protezione dei dati personali[5] - ma esteso all’intera platea di soggetti, sia pubblici che privati, che trattano dati personali in ragione della propria attività.

La prospettiva di adottare una soluzione funzionale all’archiviazione esterna dell’intero database, come nel caso di DPaaS, sembrerebbe particolarmente utile in caso di distruzione accidentale dei dati (ad esempio in seguito a un incendio). Una soluzione la cui adozione dovrebbe essere supportata anche dalla consulenza di esperti del settore che possano ridurre al minimo il rischio violazione dei dati personali tramite l’elaborazione di un oculato piano di assessment.

 


[1] Regolamento UE 2016/679 del Parlamento europeo e del Consiglio

[2] Regolamento UE 2016/679 art. 83 par. 2 lett. c

[3] Regolamento UE 2016/679 art. 83 par. 2 lett. d

[4] Nello specifico il considerando n.88 del Regolamento UE 2016/679 stabilisce che: “Nel definire modalità dettagliate relative al formato e alle procedure applicabili alla notifica delle violazioni di dati personali, è opportuno tenere debitamente conto delle circostanze di tale violazione, ad esempio stabilire se i dati personali fossero o meno protetti con misure tecniche adeguate di protezione atte a limitare efficacemente il rischio di furto d'identità o altre forme di abuso. Inoltre, è opportuno che tali modalità e procedure tengano conto dei legittimi interessi delle autorità incaricate dell'applicazione della legge, qualora una divulgazione prematura possa ostacolare inutilmente l'indagine sulle circostanze di una violazione di dati personali”.

[5] Ci si riferisce all’art. 32-bis del D. Lgs. 196/03 relativo agli adempimenti dei fornitori di servizi di comunicazione elettronica accessibili al pubblico e al provvedimento del Garante n. 161 del 4 aprile 2013; all’art. 23, comma 8, del DPCM 29 settembre 2015, n. 178 “Regolamento in materia di fascicolo sanitario elettronico”; al punto 2. del Provvedimento del Garante n. 513 del 12 novembre 2014 in tema di biometria; al punto 7.1 del provvedimento del Garante n. 331 del 4 giugno 2015 in materia di dossier sanitario.


D&L Communication è segreteria organizzativa delle Associazioni:

CONTATTI

D&L Department - Studio Legale Lisi
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65 

segreteria@studiolegalelisi.it 

Digital & Law Department S.r.l.
Via M. Stampacchia, 21 - 73100 LECCE - Tel e fax: +39.0832.25.60.65

P.IVA: 04372810756 - info@digitalaw.it - digitalaw@pec.it 

Studio Legale Lisi
Via V. M. Stampacchia, 21 - Piano Terra - 73100 Lecce - Tel /Fax: +39.0832.24.48.02 

info@studiolegalelisi.it 

Segreteria di Milano
Piazza IV Novembre, 4 - 20124 - Milano - Tel 02.671658188 Fax 02.67165266

Domicilio a Roma