L’Avv. Maurizio Reale del Consorzio Iustec è stato designato DPO dell’Associazione Nazionale Commercialisti, affiancato da altri componenti del Consorzio per le attività di Adeguamento GDPR.

L’Associazione Nazionale Commercialisti nasce nel 1950, ha sede a Roma e si compone di numerosi organismi aderenti, tra associazioni e delegazioni territoriali, distribuiti su quasi tutto il territorio nazionale.

L’ANC persegue lo scopo di rappresentare e tutelare gli interessi comuni e diffusi degli iscritti all’ordine dei dottori commercialisti e degli esperti contabili e di assumere, sostenere e valorizzare tutte quelle iniziative che, in campo contrattuale, tecnico, culturale, amministrativo e tributario, possano contribuire alla crescita e alla promozione della Categoria.

L’ANC, attraverso una diffusa e documentabile attività convegnistica, si propone di offrire ai colleghi occasioni di aggiornamento e formazione, anche attraverso l’espletamento, in collaborazione con gli Ordini territoriali, di attività prevista ai fini della formazione continua obbligatoria cui i professionisti iscritti sono soggetti per legge.

L’ANC è soggetto autorizzato dal Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili e dal Consiglio Nazionale dell’Ordine dei Consulenti del Lavoro a svolgere attività per la formazione professionale obbligatoria degli iscritti ai rispettivi Albi.

L’Associazione, inoltre, è tra le Associazioni di categoria firmatarie del codice di autoregolamentazione delle astensioni collettive dalle attività svolte dai Dottori Commercialisti e dagli Esperti Contabili.
“E’ un onore ed impegno ambizioso affiancare ANC nella sorveglianza del Regolamento Europeo 679/16, per la tradizione culturale, etica e d’immagine che quest’Associazione rappresenta verso gli Associati e verso la Collettività” – queste le parole dell’Avv. Maurizio Reale che, così, prosegue – “Conosco la realtà ANC attraverso convegni condivisi, la qualità delle pubblicazioni e la specificità e la competenza dei Componenti sono da stimolo affinchè il mio ruolo sia di Garanzia per l’Associato e di Consulenza per l’Associazione”.

Secondo il Presidente del Consorzio ing. Peluso :

“La complessità della materia, l’eterogeneità delle competenze e quindi delle professionalità richieste per adempiere correttamente ad ogni requisito normativo, organizzativo e tecnologico, richiedono sempre più il coinvolgimento sistemico, metodico ed organizzato di più professionisti ed imprese. La scelta consortile stimola il confronto e la condivisione di opportunità tra soci, in una collaborazione a «geometrie variabili» adatta alle diverse tipologie di attività che il mercato richiede. Non a caso, proprio grazie alla conformazione consortile, è stato possibile far convivere le azioni di adeguamento e di controllo poiché associati differenti compiono attività diverse senza conflitto d’interessi. Anzi, la certezza della condivisione degli obiettivi e delle medesime sensibilità degli attori coinvolti nelle relative attività massimizza la collaborazione ottenendo come risultato un’aderenza alla norma in maniera più veloce ed esatta”

D: “Hai predisposto il registro dei trattamenti?”

R: “Sì certo, non ho avuto particolari difficoltà; su internet si trovano, facilmente, alcun facsimile… basta scaricarli, confrontarli, adattarli alla meno peggio al tipo di attività e il gioco è fatto! In fin dei conti, facevo così anche per il documento programmatico sulla sicurezza, fino a quando era prevista la sua obbligatorietà. Tanto, i controlli non ci saranno e, se ci saranno, perché dovrebbero controllare proprio me e, anche se dovessero venire da me, non avrei comunque problemi: ho l’informativa, il registro dei trattamenti ed ho fatto aggiornare antivirus e firewall al portatile che porto sempre con me, per cui non ho neanche bisogno di fare il backup; ho sentito ad un convegno che non ho bisogno di altro per essere in regola con il GDPR”.

Sono consapevole del fatto che pochi crederanno che il dialogo sopra trascritto sia effettivamente intercorso tra chi scrive e una persona (professionista? Imprenditore?) del quale, ovviamente, non posso fare il nome, ma chi, come me, si occupa di protezione dei dati in maniera consapevole e professionale, credo abbia modo di identificarsi nel mio stato d’animo e di provare, da una parte, la stessa sensazione di stupore da me percepita e, dall’altra, di giungere alla medesima conclusione: neanche il GDPR sarà in grado aumentare il livello di responsabilizzazione di coloro che trattano i dati delle persone fisiche nell’espletamento dell’attività professionale o imprenditoriale!

Nel premettere che, di quanto contenuto nel dialogo, diverse, in negativo, sono le riflessioni da fare e altrettanto palesi sono le inesattezze e quindi le violazioni delle più comuni e elementari regole del GDPR e di accountability, credo sia opportuno mettere in evidenza soprattutto i rischi che potrebbero derivare non solo dalla mancanza del registro dei trattamenti ma, pur in sua presenza, di una sua tenuta non corretta, e ciò in relazione alle informazioni in esso contenute.

Mi spiego meglio.

In caso di violazione degli obblighi imposti dall’articolo 30 GDPR da parte del titolare del trattamento o del responsabile del trattamento è prevista la sanzione pecuniaria fino a 10.000.000 di euro o, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore (art. 83, par. 4, lettera a) GDPR).

L’articolo 166, comma 3, del D.Lgs. 196/2003 (come integrato con le modifiche introdotte dal D. Lgs. 101/2018) dispone che l’organo competente ad irrogare le sanzioni sopra citate è il Garante per la protezione dei dati personali il quale, nello svolgimento di tale funzione dovrà avere cura di valutare, caso per caso, le violazioni, affinché le sanzioni siano effettive, proporzionate e dissuasive come disposto dall’art. 83, par. 1, GDPR, tenendo in considerazione le circostanze di cui all’art. 83, par. 2, GDPR, ossia la natura, l’oggetto o la finalità del trattamento, la gravità, la durata della violazione, il carattere doloso o colposo della stessa, le categorie di dati personali interessate dalla violazione, e altro.

In applicazione di tale norma, il Garante dovrà quindi trovare la sanzione più idonea affinché la stessa da una parte sia proporzionata alla violazione e, dall’altra in grado di dissuadere il suo autore dal ripetere quel comportamento (anche omissivo).

Ma, per ipotesi di scuola, immaginiamo che nel registro dei trattamenti siano contenuti riferimenti, notizie o circostanze non veritiere e quindi contrastanti con l’effettiva e reale situazione presente nella struttura nella quale opera il titolare del trattamento o il responsabile del trattamento e avviene, quindi, il trattamento dei dati; in tale ipotesi, la violazione degli obblighi imposti dall’articolo 30 GDPR, oltre a configurare le conseguenze dettate dall’art. 83, par. 4, lettera a), GDPR) sarebbe altresì idonea a configurare, in capo al titolare del trattamento o al responsabile del trattamento, la violazione e le conseguenze previste dall’art. 168 comma 1 del D.Lgs. 196/2003? Prima di rispondere al quesito, è opportuno analizzare la norma appena citata.

Decreto Legislativo 196/2003

Art. 168

1. Salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.

2. Fuori dei casi di cui al comma 1, è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.

Dalla lettura della norma, appare evidente come la risposta alla domanda sopra formulata non possa che essere positiva, posto che il registro dei trattamenti deve contenere una serie di dati, indicazioni, notizie e circostanze che hanno la duplice funzione di rappresentare e dare conto, da una parte, di quel processo di mappatura che il titolare del trattamento e il responsabile del trattamento devono espletare per verificare e identificare e censire la tipologia specifica dei dati trattati e, dall’altra, nel rispetto del concetto di privacy by design e di accountability, creare la documentazione necessaria come richiesta dal GDPR e, soprattutto ma non solo, riportare, per ogni specifica categoria di dati trattati, le misure di sicurezza applicate per la protezione dei dati.

Attenzione quindi perché se è vero che:

1) quanto alle sanzioni amministrative, l’articolo 22, comma 13 del D.Lgs. 101/2018 prevede che per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali terrà conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie (termine che andrà ad esaurirsi nella seconda decade del mese di maggio 2019), è altrettanto vero che

2) quanto alle violazioni penali eventualmente riscontrate, comprese quelle conseguenti al verificarsi della fattispecie prevista dall’art. 168, comma 1, D.Lgs. 196/2003 non esiste norma che possa attenuarne o affievolirne gli effetti.

In conclusione, si invitano i destinatari del GDPR a fare attenzione, tra le altre, alle norme previste dall’art. 30 GDPR, dall’art. 22, comma 13, D. Lgs. 101/2018 e dall’art. 168 D.Lgs. 196/2003.

(articolo realizzato dal Team IUSTEC)

UNA GUIDA PER CAPIRE COSA FARE

Il Regolamento GDPR non prevede la compilazione di modelli, dichiarazioni, schemi fissi predefiniti. Questo può costituire una difficoltà per le imprese, in quanto mancano punti di riferimento che aiutino ad orientarsi, a comprendere cosa occorre fare per “essere in regola”.

Il servizio ZGDPR fornisce , anzitutto,  un “navigatore”, una mappa che guida l’impresa nelle varie tappe che la porteranno all’obiettivo finale.

UNO STRUMENTO PER FARLO NEL MODO PIU’ SEMPLICE

E’ così possibile individuare tutti gli elementi informativi necessari:

• persone dell’azienda o collaboratori esterni coinvolti;
• strutture fisiche (locali);
• software e strumenti utilizzati

Per i diversi tipi di documenti previsti dal GDPR (informative, consensi, incarichi…) esistono template precaricati, che sarà sempre comunque possibile personalizzare con la stessa semplicità di una videoscrittura.

ZGDPR è la soluzione Cloud che ti guida e supporta in ogni momento nella gestione degli adempimenti richiesti dal nuovo GDPR.

VAI AI DETTAGLI

Essere in linea con le richieste del GDPR e garantire il soddisfacimento dei diritti alla protezione del dato personale (link ad altro articolo) richiede un processo di adeguamento strutturato.

Da cosa iniziare?

Non basta adottare misure genericamente intese a proteggere le reti informatiche e a salvaguardare la correttezza degli interventi del personale sui dati, come accadeva in passato.

Una componente fondamentale del GDPR, infatti, è il principio che prevede la cosidetta “privacy by design”, ovvero un livello di protezione dei dati che viene garantito sin dalla protezione del modo con cui i dati stessi sono stoccati e trattati.

Sarà quindi necessario che ogni funzione aziendale si soffermi ad analizzare sul come vengono raccolti i dati nei diversi processi che la riguardano.

In linea generale le fasi da affrontare per iniziare il processo di adeguamento al GDPR si possono elencare in questo modo.

1. Informarsi adeguatamente circa il contenuto del GDPR,
2. Effettuare una comunicazione aziendale che consenta di informare i responsabili toccati dal processo,
3. Raccogliere informazioni circa la mappatura dei dati presenti in azienda e sulle procedure in uso per raccoglierli, conservarli e trattarli,
4. Analizzare il rischio connesso alla protezione dei dati,
5. Determinare quali dati si intendano mantenere,
6. Identificare e mettere in atto le contromisure di sicurezza necessarie,
7. Disegnare i nuovi processi di gestione del dato e adottare gli strumenti necessari per la loro gestione,
8. Stabilire le procedure di mantenimento della situazione di adeguamento.

Questi i passi strettamente necessari per una procedura minima di adeguamento.

E’ da intendersi che il disegno dei processi di gestione avrà riguardo non solo alle procedure di tipo tecnico / informatico. L’impatto del GDPR, infatti, rileva dal punto di vista di tutti i punti di contatto con i dati personali. Pertanto saranno da analizzare tutti i processi aziendali per disegnare le nuove attività con riguardo alle attività di:

• Selezione e gestione del Personale
• Marketing, con particolare attenzione alle tematiche di Marketing Digitale in cui i dati spesso vengono raccolti anche senza quasi accorgersene (dal sito web, da Google Analytics, …),
• Vendita, che comprende ad esempio attività di raccolta dati su potenziali clienti,
• Produzione, che comprende processi in cui gli operatori agiscono con il loro nome in azienda e al di fuori,
• Tutti gli altri processi che possono implicare la raccolta di dati ed il loro trattamento.

(fonte: clusit.it)

La stima dei danni globali causati dal fenomeno ammontano a circa 500 miliardi di dollari. Si tratta di un vero e proprio “salto quantico”.

Mentre scrivo queste righe si sta votando in Italia. Si tratta di elezioni politiche di grande importanza cadute in un momento di attenzione mediatica spasmodica sul fenomeno cybercrime e di grandi investimenti in sicurezza per- lomeno sul fronte delle aziende grandi e grandissime per via dei progetti di adeguamento al GDPR. Tuttavia, nonostante questa “tenaglia” mediatico/normativa che ben difficilmente si ripresenterà nel breve periodo, la campagna elettorale non ha tenuto in nessuna conside- razione il tema della sicurezza informatica e della necessità di aumento dell’attenzione dei cittadini, della pubblica amministrazione e delle imprese su questo fenomeno.

In termini numerici, nel Report leggerete che si è assistito ad una crescita del 240% degli attacchi informatici rispetto al 2011, anno a cui risale la prima edizione del Rapporto Clu- sit, e del 7% rispetto al 2016. Ma non è tanto il dato numerico a spaventare quanto invece l’elemento qualitativo sottostante: oggi il fenomeno mira a interferire in maniera pesante non solo nella vita privata dei cittadini (peraltro vittime nel 2017 di crimini estorsivi su larghissima scala) quanto invece sul piano finanziario e geopolitico. Insomma, il gioco si fa serio e un altro innalzamento del livello potrebbe non essere sop- portabile.

Alcuni dati: il Rapporto Clusit 2018 sottolinea come il Cybercrime (la cui finalità ultima è sottrarre informazioni, denaro, o entrambi), è sempre la prima causa di attacchi gravi a livello mondiale (76% degli attacchi complessivi, in crescita del 14% rispetto al 2016). Inoltre, sono in forte aumento rispetto gli attacchi compiuti con finalità di Information Warfare con un preoccupante +24% rispetto al 2016 ed ancora il Cyber Espionage (lo spio- naggio con finalità geopolitiche o di tipo industriale, a cui va tra l’altro ricondotto il furto di proprietà intellettuale) cresce del 46% rispetto al precedente periodo di osservazione. Il dato più interessante di tutti, e più preoccupante, è però quello relativo ai costi generati globalmente dalle sole attività del Cybercrime: dal Rapporto Clusit 2018 emerge infatti che sono quintuplicati per un importo complessivo, come già scritto a inizio prefazione, di 500 miliardi di dollari nel 2017. Si deve considerare, nel calcolo, che nel corso del 2017 truffe, estorsioni, furti di denaro e di dati personali hanno colpito quasi un miliardo di persone nel mondo, causando ai soli privati cittadini una perdita stimata in 180 miliardi di dollari. E l’Italia come è messa in questo contesto? Sulla base delle cifre in gioco a livello globale noi stimiamo che l’Italia nel 2016 abbia subito danni derivanti da attività di cyber crimine per quasi 10 miliardi di euro. Non abbiamo dati più recenti e non interessa forse neanche sapere se la cifra sovra o sottostima i danni. L’ordine di grandezza è sintomatico di un problema più ampio perché comunque sia i danni appaiono essere 10 volte superiori alla stima degli investimenti in sicurezza risultate dalle ricerche dell’Osservatorio Sicurezza & Privacy del Politecnico di Milano.

Come nelle precedenti edizioni, il Rapporto Clusit 2018 dedica nei cosiddetti “Focus On” approfondimenti a singoli settori e a problematiche particolarmente attuali in tema di si- curezza cyber, a firma di esperti autorevoli. Quest’anno sono in evidenza la Sicurezza Ma- rittima, l’Industria 4.0, il Cloud, la Mail Security, il Business Risk, le attività di Profiling, la diffusione delle criptovalute e la Blockchain, il Ransomware, la Gestione dei Fornitori.

Come già accaduto nei mesi precedenti al Rapporto Clusit 2017 l’attenzione mediatica sul tema è fortissima e si contano a centinaia se non a migliaia gli eventi che vengono organiz- zati in Italia e che ruotano attorno, in questo momento storico, alla sicurezza informatica e al GDPR. Per questo motivo ci aspettiamo che gli investimenti in sicurezza aumentino così come ci attendiamo che sempre più forte sarà la spinta verso la esternalizzazione con la finalità di aumentare la sicurezza delle imprese e pubbliche amministrazioni che non avranno mai la capacità economica di proteggersi adeguatamente.

Vi lascio quindi alla lettura del Rapporto Clusit 2018 che avete fra le mani, augurandomi ancora una volta che la nostra ricerca serva ad aumentare la consapevolezza della necessità di una maggiore e sempre più efficace cultura della sicurezza informatica.

Ringrazio tutti coloro che hanno dedicato tempo e sforzi alla stesura del Rapporto Clusit 2018 e mi auguro che le elezioni politiche ci consegnino un governo ancora più attento a questa tematica e che miri alla cultura della sicurezza informatica fin dai più giovani e che completi e renda attuabile un quadro di indirizzo e normativo che permetta di raggiungere gli importanti traguardi necessari per vincere una sfida difficilissima.

2.500 copie cartacee, oltre 70.000 copie in elettronico e più di 300 articoli pubblicati nel 2017, sono l’evidenza della rilevanza del rapporto CLUSIT ed è quindi importante diffon- derlo, leggerlo, farlo conoscere, perché solo dalla consapevolezza può derivare la conoscen- za del problema, la capacità di adottare scelte idonee e quindi la sicurezza nostra e di tutti.

Come noto, il GDPR è entrato in vigore il 25 Maggio scorso, ma si aspettava il decreto italiano per adeguare la normativa.

Il 4 Settembre 2018 è stato, dopo mesi di attesa, publicato sulla Gazzetta Ufficiale. Il decreto legislativo n.101 del 10 Agosto 2018 entrerà in vigore il 19 Settembre 2018.

Visualizza qui il Decreto

A questo punto, per le aziende è fondamentale adeguarsi rapidamente, e per aiutare le PMI, che ad oggi sembrano essere in ritardo, nel Decreto si chiede al Garante della Privacy di emanare delle linee guida ad hoc per loro. Nei prossimi mesi si prevedono numerosi interventi in relazione ai vari istituti previsti:

• provvedimenti di misure di garanzia,
• revisione dei codici deontologici,
• nuove regole per l’applicazione di sanzioni amministrative,
• semplificazione di adempimento degli obblighi delle PMI.

Tra le regole in arrivo se ne prevedono di specifiche nella ricerca e in ambito sanitario.