GDPR ed il FireWall perimetrale

Mi vengo a trovare presso uno studio medico per motivi extra-professionali; vengono a sapere che mi occupo di dataprotection.

Intuisco che mi vorrebbero chiedere qualcosa, immagino si tratti di GDPR; la domanda infine salta fuori: ma noi dobbiamo avere un FireWall?

Lo studio medico “ha già fatto gli adeguamenti” con l’assistenza del consulente di una associazione di categoria.

Come spesso avviene quando si “fanno gli adeguamenti al GDPR” tramite fogli e checklist, ben pochi hanno idea di quello che stanno facendo ne del perché occorra farlo.

Come da copione, la formazione non viene fatta e vengono frettolosamente indicate le cose da fare, che non vengono motivate ne ben spiegate.

Con buona pace del concetto di accountability presente nel GDPR!


Un Titolare del Trattamento che abbia dati sanitari, deve mettere in atto tutte le misure di sicurezza che ritiene necessarie affinchè i dati personali conferitigli siano sicuri (art. 32 GDPR).

Il FireWall perimetrale costituisce una delle primarie misure di sicurezza della intera LAN di qualsiasi organizzazione; rimando alla apposita pagina per altri approfondimenti.

Inoltre, una ulteriore considerazione; tutte le LAN sono oggigiorno collegate ad Internet tramite una connessione ADSL o Fibra (definita fibra ma che in effetti è una VDSL) di un fornitore di connettività. Esso fornisce un apparato (router) in comodato d’uso, che diventa il Gateway di tutta la LAN, da e verso Internet.

Il router fornito dal provider viene telegestito da remoto (dai suoi tecnici), per aggiornamenti, configurazioni e diagnostiche; in pratica, soggetti terzi hanno accesso al dispositivo più importante della vostra LAN: il Gateway.

Non solo, ma dato che il router consente l’accesso per telegestione, e che talvolta si manifestano delle vulnerabilità che rendono possibile l’accesso a malintenzionati ai vari router dei providers, e di conseguenza a tutta la rete locale, capite bene che questo rischio non può essere sottovalutato, ne (a mio avviso) accettato.

Quindi, occorre che a valle del router del fornitore sia presente un valido e ben configurato FireWall, gestito dal Titolare del Trattamento, che impedisca ad eventuali terzi estranei, qualora riescano ad accedere al router, di operare anche nella rete locale.

Ovviamente la miglior misura consiste nel sostituire il router fornito in comodato con uno proprietario e gestito dal Titolare del Trattamento; il Border FireWall è comunque sempre necessario.

Invece l’argomento dei FireWall software (quelli installati sugli elaboratori) sarà oggetto di trattazione in un separato post.

Svizzera e GDPR

Quando mancano esattamente 30 giorni all’applicazione del GDPR, la tensione stà aumentando.

Mi scrive un caro amico che lavora in Svizzera: “meno male che qui il GDPR non ha effetto”.

Caro amico, ma ne sei sicuro?

GDPR Art.3
 2. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:
 a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;
 b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.

Quindi quando un cittadino europeo è un cliente di una organizzazione svizzera, il GDPR ha applicazione; penso alle banche, ma anche ai semplici negozi che vendono agli europei, per non parlare degli e-commerce.

Poi c’è il settore turistico; un hotel che ha un sito che profila gli interessi e le preferenze di un europeo, anche se non è stato mai cliente, è soggetto? Certamente si.

E per quanto riguarda i dipendenti “frontalieri” di una società svizzera? Siamo assolutamente certi che il GDPR non abbia effetto?

Oltretutto, alcune organizzazioni dovranno nominare un DPO (esempio le banche, ma anche chi lavora nell’ambito sanitario e alla cura della persona, dettagli qui).

Comunque, in Svizzera stanno lavorando alla revisione della loro legge sulla protezione dei dati (LPD); a breve è attesa la attuazione.

In passato ho frequentato la Svizzera per motivi di studio, lavoro e turismo, e ne ho un bellissimo ricordo; quasi quasi verrei a farvi consulenza.

GDPR e scuola guida

Pervengono domande in merito agli adempimenti delle scuole guida rispetto al GDPR.

Tutte le scuole guida (ovviamente) trattano dati personali, in quanto vengono forniti dai clienti che frequentano i loro corsi per conseguire l’abilitazione di guida.

Talvolta questi dati sono di natura particolare (es. quando la persona ha una patologia o una inabilità); inoltre molte scuole guida effettuano al loro interno le famose visite del medico per il rinnovo delle patenti; questi sono dati personali sanitari.

Il GDPR impatta quindi in modo sistematico sulla intera organizzazione, che dovrà verificare la rispondenza degli attuali trattamenti di dati personali alla luce del nuovo regolamento europeo.

Studi Commerciali e GDPR

Quale Titolare del Trattamento ha un impatto GDPR superiore di uno studio commerciale?

Lo studio commerciale ha nel proprio core-business il trattamento dei dati forniti da terzi; chi meglio di esso quindi interpreta il ruolo di responsabile del trattamento (esterno) indicato nel nuovo regolamento generale per la protezione dei dati personali?

Allo studio commerciale vengono comunicati dati personali che quasi sempre sono “particolari” (precedentemente si definivano sensibili); che si tratti dei dati di collaboratori o dipendenti, delle spese mediche, degli scontrini di prodotti farmaceutici, della destinazione del 5 per mille o degli infortuni.
Per non parlare degli incarichi del tribunale al commercialista, oppure dei procedimenti fiscali, amministrativi o giudiziari dei clienti, e delle eventuali condanne.
Inoltre, il commercialista spesso è un revisore contabile di una grande società, oppure è nominato nel collegio sindacale di una organizzazione, privata o pubblica.

In ogni caso, il commercialista è tenuto al segreto professionale; conseguentemente, tutti i dati da esso trattati dovranno avere tutele adeguate a tale obbligo; alcuni addirittura ritengono che esso debba usare le migliori misure di sicurezza disponibili allo stato attuale della tecnologia informatica (ad esempio, cifrando tutto, ma non solo).

Spesso lo studio commerciale non ha risorse interne da dedicare a supportare i propri clienti nel processo di adeguamento al GDPR; in tal caso, un consulente esterno specializzato in protezione dei dati personali rende lo studio in grado di fornire un servizio completo alla clientela; oltre che ad essere una risorsa preziosa, per lo studio stesso, per raggiungere la compliance al nuovo regolamento.

Contattatemi per un primo incontro; ho già collaborato (e collaboro tuttora) con importanti studi commerciali, in tutta la Toscana.

Condominio e GDPR

Domanda: ma il condominio ha obblighi derivanti dal GDPR?

Risposta secca: perché, prima con il D.Lgs. 196/03 non li aveva?

Sino dal Maggio 2006 il Garante, con apposito provvedimento, aveva ben chiarito quali siano gli oneri a carico del condominio e degli amministratori.

Riassumendo, il condominio è il Titolare del Trattamento dei dati personali, mentre l’amministratore è il Responsabile del Trattamento.

Dato che il condominio, inteso come persona giuridica, non ha “funzioni operative”, tutte le incombenze del GDPR sono a carico degli amministratori di condominio (come peraltro prima lo erano quelle derivanti dal D.Lgs. 196/03).

Vorrei ancora una volta segnalare che una delle maggiori problematiche riguardanti la protezione dei dati personali nei condominii è la videosorveglianza; “ho visto cose che voi umani …”.

Ricordato che la responsabilità civile e penale è solidale tra il Titolare ed il Responsabile del Trattamento, possiamo consigliare a tutti i condomini di scegliere e “ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” – art 28.1 GDPR.

Ruolo DPO

Chi è il Data Protection Officer?
Il Data Protection Officer (di seguito DPO o D.P.O.) è un ruolo chiave, introdotto dal Regolamento Generale sulla Protezione dei Dati EU 2016/679.
Il D.P.O. (nel codice italiano indicato come R.P.D. Responsabile della Protezione dei Dati), figura già presente in alcune legislazioni europee (anche conosciuto come Chief Privacy Officer, Privacy Officer, Data Protection Officer o Data Security Officer), è una figura che ha un ruolo determinante nel trattamento di dati personali di una organizzazione.

Chi deve nominare il DPO?

  • una pubblica amministrazione che tratta dati personali (eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali);
  • una organizzazione che effettua monitoraggio, regolare, sistematico e su larga scala di interessati;
  • una organizzazione che tratta, su larga scala, particolari categorie di dati sensibili o dati relativi a reati e condanne penali.

Quali sono le organizzazioni private che ricadono nelle ultime due indicazioni?
IL Garante ha precisato quali tipologie di organizzazioni private debbono nominare un Data Protection Officer o Responsabile della Protezione dei Dati Personali (ulteriori dettagli qui).

Compiti del DPO
I compiti primari del Data Protection Officer sono:

  1. informare e fornire consulenza al Titolare e al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
  2. sorvegliare l’osservanza del GDPR, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
  4. cooperare con l’autorità di controllo (Garante per la Protezione dei Dati Personali); e
  5. essere il punto di contatto dell’autorità di controllo per questioni connesse al trattamento dei dati personali, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;
  6. comunicare un eventuale data-breach al Garante.

Chi può essere nominato DPO?
In base all’articolo 37, paragrafo 5 GDPR, il DPO “è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Viene anche previsto che il livello necessario di conoscenza specialistica dovrebbe essere determinato in base ai trattamenti di dati effettuati e al livello di protezione necessario per i dati personali oggetto di trattamento.
Allo stato attuale non esiste alcun schema di certificazione, corso, percorso formativo o seminario che abiliti al ruolo di D.P.O. ; sono invece importanti esperienza e competenze professionali, così come la conoscenza delle normative nazionali ed europee; è necessaria anche una formazione adeguata e continua.
La organizzazione che procede alla nomina del DPO dovrà allegare alla stessa le risultanze della valutazione di adeguatezza, in base alla quale è stato designato il candidato tra tutti gli altri; si presti quindi molta attenzione a motivare la scelta, in quanto la nomina di una figura inadeguata o in conflitto di interessi potrebbe configurare il reato in eligendo.

La figura DPO esterna
Le organizzazioni di dimensioni limitate o che non hanno figure da investire dell’incarico di DPO-RPD possono nominare una figura esterna, che abbia i requisiti indicati, di rivestire il ruolo di DPO. Alcune organizzazioni complesse potranno nominare una figura giuridica esterna (team di esperti) quando i processi di trattamento dei dati necessitano di particolari competenze interdisciplinari. Occorre fare attenzione a che non sussistano conflitti di interessi (come nel caso di nomine a fornitori informatici, software house e consulenti fiscali ed amministrativi già incaricati).

Autonomia del DPO
Il regolamento GDPR indica le garanzie essenziali per consentire al DPO di operare con un grado sufficiente di autonomia nella organizzazione del titolare del trattamento. Esso non dovrà ricevere alcuna istruzione sullo svolgimento dei propri compiti, che dovrà svolgere in modo indipendente. Avrà a disposizione un budget adeguato che gestirà autonomamente per i compiti assegnati, compreso quello della propria formazione continua.

La nomina del DPO rileva il board aziendale dalle responsabilità GDPR?
No, la figura del DPO è intesa come “facilitatore  e controllore” delle procedure e della sicurezza della architettura di trattamento della propria organizzazione. Non ha funzioni decisionali, che pertanto permangono nel board, così come le responsabilità.

Il DPO deve essere formalmente nominato?
La risposta è affermativa; nell’ipotesi di incarico ad un team o una società, occorre comunque che sia individuato in maniera inequivocabile un soggetto che specificamente opererà come RPD, riportandone espressamente le generalità. E’ poi necessario che nell’atto di designazione o nel contratto di servizi risultino indicate le motivazioni che hanno indotto il management a scegliere quel soggetto per svolgere la funzione di RPD. La nomina dovrà essere comunicata al Garante, indicata sulle informative e sul sito web aziendale.

Per le organizzazioni seriamente motivate a dotarsi di un framework di protezione dei dati personali conforme al GDPR, ho la competenza e l’esperienza necessarie ad assumere l’incarico ed il ruolo di DPO in Toscana e in tutto il centro-Italia.
Arezzo Firenze Grosseto Lucca Livorno Massa Carrara Pistoia Prato Siena Pisa Città di Castello Perugia Gubbio Foligno Fabriano Assisi Orvieto bibbiena poppi sansepolcro san giustino torrita di siena città di castello monte san savino rapolano terme sinalunga foiano cortona camucia montevarchi levane bucine figline incisa valdarno radda greve panzano in chianti