Le “misure repressive” verso professionisti ed aziende che, anche come clienti, possiamo attivare a tutela dei nostri dati e sicurezza – Segnalazione al Garante Protezione Dati Personali Privacy

data-breach-segnalazione

“In caso di “Data Breach” potreste risponderne nei confronti dei vostri clienti; anche penalmente.”

Così si è aperta una conferenza sul GDPR2016 679/2016 Data Protection Regulation UE proprio per inquadrare la situazione nella “giusta ottica” che purtroppo ancora oggi dopo il caso EyePyramid, molti Studi Professionali ed Aziende tendono ancora a banalizzare come un gioco di hacker spioni.

Quello che è stato sottovalutato, anche da alcuni inquirenti, che il software malevolo ( il malware Eye Pyramid) è stato inviato da un “presumibilmente” ignaro account di un conosciuto e stimato studio legale.

“Senza dubbio il mondo forense non ha ancora acquisto la piena consapevolezza dei rischi che ciascun avvocato corre se non è adeguatamente attrezzato in cybersecurity”, queste le parole di Rocco Panetta, già Consulente del Garante, quindi uno che ne mastica di queste cose.

Ci sono tre aspetti da tener presente”, specifica Panetta. “Uno è collegato all’osservanza delle regole in materia di privacy e relative responsabilità, civili, amministrative e penali; vi è poi la responsabilità deontologica collegata all’obbligo di riservatezza ed esercizio diligente del mandato; e infine vi è la responsabilità contrattuale che deriva dal mandato professionale. Anche se questa leva della responsabilità contrattuale non è utilizzata frequentemente, il mandato comunque espone l’avvocato al rischio d dover risarcire il danno subito dal cliente”.

Ma veniamo a noi, utenti od ignari clienti di essere capitati nelle mani di uno studio “poco accorto” alla tutela e sicurezza obbligatoria dei nostri dati e delle relative comunicazioni, spesso via mail, con le quali interagiamo quotidianamente per “consegnare e delegare” la nostra “vita elettronica” ai custodi che abbiamo incaricato, molto spesso anche con costi non indifferenti in termini di compensi.

In caso di Data Breach ( violazione, perdita o diffusione in rete internet dei nostri dati, spesso sensibili) di cui venissimo a conoscenza direttamente od indirettamente ( stampa, social, od anche cose tipo la ricezione di mail con allegati o link “pericolosi” da parte del dominio mail dello studio che abbiamo incaricato), il cliente può rivolgersi allo studio esercitando il “diritto di accesso” secondo art.7 del Dlgs. 196/2003 Codice Privacy (e nei prossimi tempi agire secondo il GDPR2016 Privacy UE) interrogando sulle finalità e modalità del trattamento dei suoi dati, della logica applicata, del responsabile e dei soggetti ai quali sono inoltrati i dati e nel caso di opposizione alla prosecuzione del trattamento dati.

Questa procedura del “diritto di accesso”, anche per essere sicuri di essere nel giusto, è consigliabile che fosse supportata dalla consulenza e supervisione di un DPO (Data Protection Officer) o Consulente Privacy.

Se non si ottiene una risposta “adeguatamente esaustiva e rassicurante” entro 15 giorni (obbligatori),  ci si può rivolgere al Garante per la Privacy (segnalazione formale tramite sito web)

Come Agire Per Tutelare Nostri Dati Personali

che apre un procedimento di verifica sul trattamento dei dati personali (istruttoria formale), compreso l’aspetto della loro messa in sicurezza; la procedura può concludersi anche con sanzioni pecuniarie molto gravi e con il blocco del trattamento dati. Inoltre, se la risposta ricevuta non rassicura il cliente sull’adeguatezza delle misure adottate dallo studio/azienda, quest’ultimo può presentare un “formale reclamo”, sempre al Garante, ed una querela presso la Procura della Repubblica attivando un procedimento penale e se risulta che lo studio/azienda non ha attivato le “diligenti misure di sicurezza” (per esempio sicurezza dei computer non adeguata, adeguamento password  gestione mail almeno annuale non rispettata, rete LAN condivisa senza requisiti di sicurezza adeguati, etc…) rischia anche penalmente.

Il quadro tra circa un anno, si irrigidirà di più. “Il nuovo Regolamento Europeo sulla Data Protection ( GDPR2016- General Data Protection Regulation ) si applicherà anche agli studi professionali ed Aziende anche PMI: le sanzioni previste potranno arrivare sino al 4% del loro fatturato annuo e gli obblighi di Data Breach Notification al Garante e alla clientela dovranno essere adempiuti in un lasso temporale molto stretto, non oltre le 72 ore massimo.

Quella che può sembrare ai più “una piccola smagliatura del sistema” mette potenzialmente a rischio una moltitudine di dati. Sarebbe imbarazzante per esempio per uno studio legale giustificare ai clienti la sottrazione o la perdita di dati, magari anche sensibili, in caso di data breach, e meno che mai dei possibili clienti, anche aziendali, si andranno ad affidare ad uno studio che non dia adeguate garanzie.

“Il fatto che per molti professionisti operi l’autorizzazione generale del Garante che li esonera dal chiedere il consenso ogni qualvolta trattino dati sensibili non significa che siano esenti dagli altri obblighi previsti dalla legge, tra cui l’adozione delle misure di sicurezza elencate dall’allegato B del Codice Privacy 196/2003 che nel nuovo testo del GDPR2016 non saranno minime, ma bensì adeguate al rischio, che andrà valutato non dal titolare dello studio od azienda, ma da consulenti professionalmente validi del settore, i DPO ( Data Protection Officer) e/o Consulenti SGSI (Sistema Gestione Sicurezza Informazioni).

O.L.I.T. Informatica

 

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Advertisements