VOIP Obblighi di protezione dei dati

Documenti analoghi
Farmaci a marchio e indicazione del principio attivo. Milano, 26 giugno 2013

Co-branding e strategia di marca nel mercato globale

Il servizio di consulenza finanziaria avanzata nelle banche

Start-up Innovative: Dott.ssa Eleonora Briolini. Milano 19 novembre 2012

Il ruolo dell'advisor legale nei processi di quotazione. Avv. Roberto Culicchi. Milano, 2 Ottobre 2008

IL TRATTAMENTO DEI DATI PERSONALI E IL REGOLAMENTO UE 679/16: NUOVI ADEMPIMENTI E RESPONSABILITÀ AVV.MICHELE GRISAFI

Il nuovo regolamento europeo sulla privacy (GDPR): i nuovi adempimenti per la pubblica amministrazione, le imprese e le strutture sanitarie

LBO e fusione Avv. Leah Dunlop Avv. Paolo Tanoni. Milano, 2 Ottobre 2008

Milano, 13 ottobre 2016

Dal Codice della Privacy al Regolamento Europeo: COSA CAMBIA

Circolare alla clientela TZ&A

GDPR. Gli obblighi di compliance interna ed esterna. 23 novembre 1

IL NUOVO CODICE SULLA PRIVACY D.L.vo 196/2003

Attuazione e applicazione del Regolamento REACH: sfide e prospettive

Principali adempimenti privacy

Sistemi informativi in ambito sanitario e protezione dei dati personali

IL GDPR E LA COMPLIANCE. Strumenti a servizio della sicurezza dei sistemi informativi

PROTEZIONE DEI DATI IN AMBITO SANITARIO CRISTINA DAGA

Cittadini più garantiti

Novità in tema di gestione dei reclami

REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

Il nuovo Regolamento UE sulla protezione dei dati e relative novità Il Data Protection Officer Le Sanzioni previste News Letter Privacy

The Printable World. 11 novembre 2014 avv. Licia Garotti.

Privacy e attività bancaria: evoluzione normativa, sicurezza e innovazione

Il nuovo regolamento Europeo sulla Protezione dei Dati personali Impatti aziendali

LE PARTNERSHIP COME FORMA DI COLLABORAZIONE INTERNAZIONALE TRA IMPRESE. US LLC e UK LLP

Privacy Policy Web

LA PRIVACY NELLA DIREZIONE RISORSE UMANE ALLA LUCE DEL NUOVO REGOLAMENTO UE

Privacy: formazione sul nuovo Codice

La trasmissione di documenti informatici mediante la posta elettronica certificata: fondamenti giuridici e regole tecniche. D.P.R. n.

TED seminario robotica e reti. Genova - Ottobre Linda Giannini e Carlo Nati -

Privacy e Misure di Sicurezza. Giulia M. Lugoboni

STUDIO MARCOZZI DOTTORI COMMERCIALISTI

Adempimenti Privacy/Data Protection. Attività di Privacy /Data Protection per adempimento al dlg 196/03 e GDPR/06 del 24 maggio 2016

COS E IL GDPR GENERAL DATA PROTECTION REGULATION. Avv. Viviana Raisi

Sezione 1 - Gestione e governance della protezione dei dati

Advertising / Communication / Web Agency

Convegno Annuale AISIS

SISTEMA UNIFICATO D IDENTITA DIGITALE

Regolamento sulla tutela della riservatezza dei dati personali contenuti in archivi e banche-dati comunali

Trattamenti con strumenti elettronici

GDPR. le 7 domande che vorresti fare

Mancata o tardiva conservazione dei dati, dei documenti e delle informazioni previste dalla legge (art. 57)

La protezione delle infrastrutture critiche informatizzate ed il C N A I P I C. Alcune problematiche sul trattamento dei dati personali

Indice. Lo scenario. GDPR: La norma. La compliance in 5 punti. Tutto quello che c è da sapere - Infografica

Gli obblighi imposti dalla legge

STUDIO LEGALE ROSADI-SOFFIENTINI ASSOCIATII. Copyright 2014 Studio Legale Rosadi-Soffientini Associati Tutti i diritti riservati

LA PROFESSIONALITÀ DEL DATA PROTECTION OFFICER FORMAZIONE OBBLIGATORIA NEL NUOVO REGOLAMENTO

REGOLAMENTO PER IL TRATTAMENTO DEI DATI PERSONALI INDICE

MODULO 2 ex D.Lgs. n.231/2001 MODELLO ORGANIZZATIVO

Le misure di sicurezza nel trattamento di dati personali

MINISTERO DELL ECONOMIA E DELLE FINANZE

PRINCIPALI ADEMPIMENTI, RESPONSABILITÀ E SANZIONI NEL CODICE DELLA PRIVACY

Regolamento. Per il trattamento dei dati personali (legge , n. 675)

Lo Studio è membro dell alleanza CMS. E un alleanza tra primari studi internazionali specializzati nell assistenza legale e tributaria.

Le modifiche apportate al Codice della Privacy dal D.L. 70/2011 c.d. decreto sviluppo.

Prot Roma, 19 dicembre 2007

SCHEMA DI REGOLAMENTO SULL ESERCIZIO DELLE COMPETENZE DI CUI AL DECRETO LEGISLATIVO 15 MARZO 2017, N

RESPONSABILITA CIVILE E PENALE DEGLI ORGANI SOCIALI(AMMINISTRATORI E SINDACI)

La normativa sulla privacy è definita in Italia come normativa sulla PROTEZIONE DEI DATI PERSONALI

Nuovo Regolamento Europeo Privacy. Gubbio, Perugia Marzo 2016

L ADEGUAMENTO ALLE NORME OBBLIGATORIE IN MATERIA DI TRATTAMENTO DATI PERSONALI D. Lgs. 196/2003

Periodico informativo n. 139/2014 Iscrizione immediata al registro imprese

COMUNE DI ARCINAZZO ROMANO PROVINCIA DI ROMA REGOLAMENTO SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI TRATTATI DAI SERVIZI COMUNALI

La mappa degli indici del Fiscal Assist è collocata nella parte finale della presente pubblicazione

COMUNE DI POGGIO TORRIANA PROVINCIA DI RIMINI

Come cambia l antiriciclaggio

INDICE PRESENTAZIONE LINEAMENTI GENERALI SULLA DISCIPLINA ANTIRICICLAGGIO... 13

REGOLAMENTO PER LE RIPRESE AUDIOVISIVE DEL CONSIGLIO COMUNALE


Tipologia di dati trattati e finalità del trattamento

REGOLAMENTO INTERNO PER LA GESTIONE ED IL TRATTAMENTO DELLE INFORMAZIONI RISERVATE E PER LA COMUNICAZIONE ALL ESTERNO DI DOCUMENTI E DI INFORMAZIONI

Nome modulo: ILLUSTRAZIONE DETTAGLIATA DEI COMPITI E DELLE RESPONSABILITÀ CIVILI E PENALI

COMUNE DI CAMEROTA Tel Fax Pec:

PARTE PRIMA PRIVACY NEL WEB. 1. Privacy e web: normativa di riferimento e ambito di applicazione...» 21

Regolamento interno per l utilizzo delle fonti dati gestite dal Comune di MELLE e dal Comune di VALMALA

Garantire le indagini nei casi procedibili d ufficio riducendo quindi l attuale parziale inadempienza. Assicurare copertura omogenea nel territorio

Trento, 8 febbraio Privacy (d.lgs 196/03) e internet. Obblighi ed opportunità per il datore di lavoro

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO

LEGGE N. 675 REGOLAMENTO COMUNALE SULLA TUTELA DELLA RISERVATEZZA DEI DATI PERSONALI

Firenze 4 Giugno 2011 E-Privacy 2011

Dott. Filippo Lorè Consulente Privacy

ISTITUTO D ISTRUZIONE SUPERIORE

PILLS n /2017. Il Decreto attuativo della IV Direttiva Antiriciclaggio

IL PRESIDENTE DELLA REPUBBLICA

Mappa dei rischi elaborata sulla base dell analisi del contesto e della valutazione dell ambiente di controllo

Segreto Professionale

Contenuti didattici: v. infra Contenuti dell Area Formativa, con specifica della durata di ciascun Modulo.

Gestione del Rischio Informatico

Informativa per la clientela

Il/la sottoscritto/a cognome*.nome* nato/a* (prov. ) il residente in* (prov. ) via n. cell. tel. fax... CHIEDE

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA SEMPLIFICATO

DATA PROTECTION E PRIVACY OFFICER

COMUNE SANTA LUCE (Provincia di Pisa) REGOLAMENTO sulla TUTELA della RISERVATEZZA dei DATI PERSONALI

GOOGLE BUSINESS PHOTOS CONTRATTO PER I SERVIZI FOTOGRAFICI

Dichiarazione di intento nuove modalità di trasmissione (Art. 20 D.Lgs. n. 175/2014, Provvedimento Agenzia Entrate )

MODELLO DI ORGANIZZAZIONE E GESTIONE

(articolo 1, comma 1)

REGOLAMENTO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

Transcript:

VOIP Obblighi di protezione dei dati Il sempre più rapido sviluppo della tecnologia e di nuove soluzioni digitali in un mercato in cui i dati (personali o meno) sono diventati un'importante linfa vitale per l'economia e per la sua crescita hanno reso necessario guardare in modo nuovo alla regolamentazione del loro utilizzo, della loro circolazione e soprattutto della loro sicurezza. La crescita esponenziale della quantità di dati, anche riservati e confidenziali, che sono generati dalle reti e sistemi informativi, e dai servizi digitali ad essi correlati, ha determinato anche il progressivo aumento degli attacchi informatici che diventano sempre più complessi e si avvalgono di un numero sempre maggiore di risorse. I contenuti delle comunicazioni come dati personali E' importante considerare che qualunque sia il mezzo, tecnico o meno (documento scritto, email, telefono o altra soluzione), utilizzato per trasmettere e far circolare le informazioni e i dati personali, la protezione e sicurezza di tali informazioni resta fondamentale. Benché possa apparire non del tutto evidente, sono soggetti allo stesso regime di protezione non solo i dati e le informazioni rappresentate in documenti scritti (file, email) ma anche l'immagine di una persona, la sua voce e i contenuti delle comunicazioni se sono comunque riferibili ad essa o ad altra persona determinata. Facciamo un esempio molto semplice: se parlando al telefono con il responsabile dell'ufficio del personale della mia azienda comunico che un certo impiegato dell'azienda non sarà al lavoro per un certo numero di giorni a causa di una malattia, avrò comunicato un dato personale (l'informazione che l'impiegato è in malattia). Se la rete interna fosse stata oggetto, nel frattempo, di attacco da parte di un hacker che captava tale comunicazione, quel dato (peraltro "sensibile" e quindi soggetto a maggior protezione di altri dati secondo quanto previsto dalla legge) sarebbe stato esposto ad un trattamento illecito. Il fatto che io abbia comunicato questa informazione al telefono e non via email, non esime la società dall'assicurare che quell'informazione non sia impropriamente 1 P a g e

acquisita da terzi. Ed ove l'informazione fosse acquisita illecitamente da terzi, l'azienda rischierebbe di incorrere in sanzioni severe e nell'obbligo di risarcire l'impiegato anche per danni non patrimoniali: il semplice fatto che vi sia stato un trattamento illecito di dati sarebbe infatti elemento sufficiente per far scattare la responsabilità dell'azienda che potrebbe difendersi solo se prova che il danno deriva dal caso fortuito. Il trattamento dei dati personali è infatti equiparato, dall'art. 15 del Codice in materia di protezione dei dati personali D.Lgs. 196/2003, all'esercizio di attività pericolosa (art. 2050 cod. civ.). Ma quali sono questi obblighi e che rischi si possono correre? Obblighi di protezione e sicurezza dei dati L'attuale disciplina nazionale ed europea pone importanti obblighi di protezione dei dati personali non solo su coloro che offrono servizi nel settore digitale, incluso il settore della telefonia e delle comunicazioni elettroniche (anche VOIP), ma anche su coloro che di tali servizi fruiscono per il proprio business. Coloro che trattano dati personali hanno l'obbligo, infatti, applicare specifiche misure di sicurezza per proteggere i dati sia con misure di sicurezza di base ("minime", artt. 33 e ss. e Allegato B, Codice in materia di protezione dei dati personali), che con ogni altra misura di sicurezza che possa rendersi necessaria in base ai rischi cui potrebbero essere esposti i dati (e nel caso di sistemi di comunicazioni, i contenuti stessi delle comunicazioni) a seconda delle operazioni di trattamento effettuate. Spesso nella prassi si trovano realtà aziendali convinte che, una volta applicate le misure minime di sicurezza, non occorra curarsi di altro, dimenticando invece che la legge richiede che si adotti un approccio basato sul rischio associato alla tipologia di dati e di operazioni di trattamento che sono effettuate. Occorre, infatti, valutare nello specifico tutti i possibili rischi ai quali potrebbero essere esposti i dati per "ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità di raccolta" (art. 31, Codice in materia di protezione dei dati personali). In alcuni casi è lo stesso legislatore o il Garante per la protezione dei dati personali che identifica misure più specifiche da implementare in certi settori particolarmente sensibili ed esposti a rischi maggiori: tra questi, il settore delle comunicazioni, della sanità, i servizi digitali, gli istituti bancari e finanziari che hanno obblighi specifici non solo in relazione ai dati personali ma in generale anche dei dati di tutta la propria clientela (comprese le persone giuridiche), o ancora gli intermediari professionali nei 2 P a g e

servizi di trasmissione delle dichiarazioni telematiche. Tutti questi soggetti, e non solo, sono oggi sempre più esposti agli attacchi informatici. In questi casi potrebbe rendersi necessario applicare anche tecniche di cifratura nella trasmissione dei dati anche e/o segnalare gli incidenti di sicurezza alle autorità (tra cui il Garante) ed eventualmente alle persone a cui si riferiscono i dati. E' il caso ad esempio degli obblighi di sicurezza imposti dalla normativa di settore agli istituti bancari (ad esempio, Circolare 285 del 17 dicembre 2013, Banca d'italia), che impone a tali istituti l'adozione di specifici piani di gestione dei rischi, con un focus specifico sulla sicurezza informatica, e che impone agli stessi obblighi di segnalazione alle autorità di sorveglianza in caso di gravi incidenti di sicurezza. Specifici vincoli in termini di cifratura si rinvengono poi nel settore sanitario dove la "trasmissione" di dati sanitari deve avvenire solo previa cifratura dei dati stessi (Allegato B, Codice in materia di protezione dei dati personali), ma anche nello stesso Codice in materia di protezione dei dati personali che impone alle pubbliche amministrazioni di cifrare i dati sensibili e giudiziari non solo nel contesto di operazioni di trasferimento dei dati, ma anche di dati residenti sui sistemi (art. 22.6, Codice in materia di protezione dei dati personali). Inoltre, quand'anche gli incidenti di sicurezza non dovessero verificarsi in relazione a dati personali ma coinvolgessero informazioni che sono comunque protette, riservate e/o confidenziali, un'azienda deve fare i conti con le possibili responsabilità e obblighi risarcitori che possono derivarle a seguito di un'eventuale divulgazione, anche solo colposa, di tali informazioni che si dovesse verificare in ragione di un accesso abusivo alla rete. Soprattutto in questi casi chi tratta i dati deve mappare con attenzione i rischi che possono derivare dall'utilizzare soluzioni più vulnerabili sul piano della sicurezza rispetto ad un mero archivio fisico o a un server locale, e prevenire - con sistemi adeguati il verificarsi di falle nella sicurezza dei servizi (anche digitali) che si utilizzano. Nuovi obblighi in arrivo Lo scenario è destinato a cambiare a brevissimo poiché, a partire dal 25 maggio 2016, con l'entrata in vigore di una nuova legislazione europea sulla protezione dei dati personali ((Regolamento (EU) 2016/679 - Regolamento Generale sulla Protezione dei Dati) chi tratta dati personali, sia come titolare, ma anche come responsabile del trattamento, sarà tenuto a implementare nuovi e più onerosi obblighi di sicurezza. 3 P a g e

Il Regolamento introduce significativi rafforzamenti degli obblighi di protezione dei dati personali e fa della sicurezza uno dei principali pilastri: se da un lato scomparirà l'elenco delle misure di sicurezza previsto dall'attuale normativa italiana, ci saranno criteri specifici e ben determinati e soprattutto ci sarà l'obbligo del titolare e del responsabile di documentare le loro scelte sulla sicurezza e provare che sono adeguate. Tra e misure menzionate il Regolamento introduce, ad esempio, la cifratura dei dati personali come una delle misure fortemente raccomandate, e in molti casi obbligate (art. 32 del Regolamento), per evitare di incorrere in responsabilità civili e amministrative. Non solo, altri obblighi renderanno estremamente importante valutare anticipatamente i rischi di sicurezza (art. 35, Regolamento) e adottare misure che riducano i rischi di violazione dei dati personali. Il titolare del trattamento dovrà infatti dimostrare, anche attraverso documentazione a supporto, che il trattamento che ad esso fa capo avviene (o è avvenuto) nel rispetto dei principi fondamentali della normativa sulla protezione dei dati personali, inclusa la sicurezza (art. 6.1.f)), Regolamento che recita: "I dati personali sono: [ ] f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali ("integrità e riservatezza")). E' il cd. principio di accountability (leggasi "responsabilizzazione"). Tra i principali obblighi non può non citarsi inoltre che con l'entrata in vigore del Regolamento gli obblighi di notifica al Garante degli incidenti di sicurezza e di violazione dei dati (data breach), che nell'attuale normativa italiana sono previsti solo in casi delimitati, si estenderanno a qualunque azienda che venga a conoscenza, direttamente o per il tramite del proprio fornitore, di un incidente di sicurezza e di violazione dei dati di cui è titolare (art. 33, Regolamento). L'esonero da tale obbligo è limitato, ma qui entrano in gioco alcune importanti valutazioni: infatti, se l'azienda ha applicato tecniche di cifratura ai dati che sono stati poi colpiti dalla violazione, non solo gli obblighi di notifica del data breach saranno significativamente ridotti proprio in ragione della minor capacità di pregiudizio che possono avere dei dati cifrati (art. 34.3.a), Regolamento) e, in talune circostanze, arrivare ad evitare le pesanti conseguenze sanzionatorie che il nuovo Regolamento porta invece con sé. Il Regolamento ha infatti notevolmente aumentato il livello di severità delle sanzioni che potranno arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato globale (art. 83, Regolamento). Non può infine non farsi menzione del nuovo quadro giuridico europeo in tema di e- Privacy e cybersecurity che entrerà in vigore ragionevolmente in concomitanza con il 4 P a g e

Regolamento e che attesta il forte impegno dell'unione Europa nel garantire la sicurezza dei dati e delle infrastrutture per combattere gli attacchi informatici e favorire il mercato digitale. La revisione del quadro relativo alla sicurezza dei sistemi informativi e delle infrastrutture critiche nazionali (ai quali dovranno conformarsi gli operatori di alcuni settori chiave, tra cui, oltre ai servizi di comunicazione elettronica, i servizi bancari e quelli finanziari, nonché gli operatori del settore sanitario) introdurrà, infatti, un'ulteriore area di attenzione e di gestione dei rischi di sicurezza per gli operatori dei settori interessati, tra cui obblighi di pronta segnalazione alle autorità degli incidenti di sicurezza alle infrastrutture in aggiunta a quelli previsti dal Regolamento (direttiva sulla cybersecurity che dovrebbe essere approvata nel corso dell'estate 2016). Per un quadro più completo delle principali novità introdotte dal Regolamento si rinvia all'analisi disponibile all'indirizzo: http://www.twobirds.com/en/hottopics/general-data-protection-regulation (documento in lingua inglese). Prevenzione e analisi dei rischi Ancorché vi sia tempo sino al 25 maggio 2018 per adeguarsi appieno alla normativa, è essenziale agire quanto prima per identificare le aree di rischio e intervenire adottando e applicando tutte le misure idonee per prevenire i rischi di violazione della sicurezza. Nell'esempio fatto all'inizio, si può infatti osservare che se l'azienda non dimostra, con i fatti e i documenti, di aver adottato tutte le misure di sicurezza necessarie per evitare il danno, il giudice al quale l'impiegato abbia eventualmente presentato una richiesta di risarcimento del danno potrebbe condannare la mia azienda a risarcire l'impiegato del danno non patrimoniale. Non solo, ma se la violazione fosse portata all'attenzione del Garante, quest'ultimo potrebbe a sua volta sanzionare l'azienda se non ha adottato le misure di sicurezza previste dalla legge. Un sistema adeguato di prevenzione e gestione dei rischi di sicurezza adottando e implementando adeguati sistemi di sicurezza dei propri apparati, anche in relazione ai servizi VOIP di cui un'azienda si avvale, consente pertanto di limitare eventuali responsabilità, in termini di risarcimento del danno (art. 15, Codice in materia di protezione dei dati personali, art. 82, Regolamento) di cui l'azienda sarebbe altrimenti chiamata a rispondere in caso di violazione delle norme in materia di protezione dei dati personali. Alla luce del nuovo quadro normativo diventa infatti ancor più importante per un'azienda essere in grado di provare di aver adottato adeguate misure di sicurezza assolvendo agli obblighi di legge sopra indicati. 5 P a g e

Solo in questo modo l'azienda sarebbe esonerata da eventuali responsabilità civili per i danni che potrebbero derivare da un'eventuale violazione di sicurezza sui sistemi di comunicazione VOIP, oltre che dalle responsabilità penali ed amministrative ad essa correlate. *********************************** Bird & Bird è una law firm internazionale, fondata a Londra nel 1846, che associa esperienza legale d avanguardia a un approfondita conoscenza delle specifiche aree di attività. Abbiamo 28 sedi in Europa, Medio Oriente, Asia e Australia. Assistiamo i nostri clienti in materia di privacy e protezione dei dati, diritto delle tecnologie, diritto societario e commerciale, bancario, finanziario e assicurativo, tutela della proprietà intellettuale, diritto del lavoro, antitrust, fiscale, contenzioso, real estate, restructuring & insolvency. twobirds.com Aarhus & Abu Dhabi & Beijing & Bratislava & Brussels & Budapest & Copenhagen & Dubai & Dusseldorf & Frankfurt & The Hague & Hamburg & Helsinki & Hong Kong & London & Luxembourg & Lyon & Madrid & Milan & Munich & Paris & Prague & Rome & Shanghai & Singapore & Stockholm & Sydney & Warsaw Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated and associated businesses. Bird & Bird LLP is a limited liability partnership, registered in England and Wales with registered number OC340318 and is authorised and regulated by the Solicitors Regulation Authority. Its registered office and principal place of business is at 15 Fetter Lane, London EC4A 1JP. A list of members of Bird & Bird LLP and of any non-members who are designated as partners, and of their respective professional qualifications, is open to inspection at that address. 6 P a g e 1

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back