Sei sulla pagina 1di 20

Avvocati e GDPR: è tempo di data protection

Sommario
Avvocati e digitale: ecco cosa tenere sotto controllo nel 2018 ................................................................................. 2
Big Data sempre più BIG ma ugualmente nostri: come difenderli? .......................................................................... 6
Come difendersi dai virus e dagli attacchi informatici ............................................................................................ 11
Data economy: proprietà, responsabilità e incertezze nell’ “Internet of Things” ................................................... 14
Data protection officer in ambito privato: le risposte del Garante ......................................................................... 17

Redazione Altalex 1/18


Avvocati e GDPR: è tempo di data protection

Avvocati e digitale: ecco


cosa tenere sotto
controllo nel 2018
Processo amministrativo telematico.

Ricordiamo in sintesi che dal primo gennaio il processo amministrativo è diventato “tutto” telematico, nel senso
che i depositi on line dalla piattaforma della giustizia amministrativa riguardanoo anche tutti gli atti afferenti ai
ricorsi depositati prima del 1° gennaio 2017, dunque in cartaceo. Il pagamento del contributo unificato deve
effettuarsi solo con il Mod. F24 Elide. Ancora, ricordiamo che la Legge di Bilancio 2018 (n. 205/2017), all’articolo
1, comma 1150 , ha prorogato per un altro anno (fino al gennaio 2019) l'obbligo del deposito di almeno una
copia cartacea del ricorso e degli scritti difensivi.

Intercettazioni e Trojan. Il consiglio dei ministri del 29 dicembre ha approvato in via definitiva il decreto
legislativo di riforma del sistema delle intercettazioni, che contiene la nuova disciplina sui cosiddetti Trojan di
Stato.

Il decreto legislativo deve essere ancora pubblicato in Gazzetta Ufficiale. La disciplina sul nuovo strumento
investigativo entrerà in vigore 180 giorni dopo l’entrata in vigore del d.lgs.

Sappiamo che il captatore informatico è un software che- inserito in pc o dispositivi mobili o server – è in grado
di ascoltare conversazioni, copiare dati-immagini-documenti, manomettere il sistema etc.

Nonostante sia in uso da anni nella attività investigativa dei pubblici ministeri e la Cassazione se ne sia occupata
limitandone l’utilizzo alle indagini di criminalità organizzata (vedi da ultimo avvocatoquattropuanto zero…) ,
questa tecnologia investigativa non aveva fino a questo momento ricevuto un “cappello” normativo, nonostante
la sua alta invasività potenziale.

C’è da dire che il legislatore ha fatto una scelta “minimale”, rendendo legittimo il malware solo come
“microfono” a distanza, peraltro attivabile esclusivamente in dispositivi elettronici portatili (niente computer o
server) nel domicilio dell’indagato solo per i reati di criminalità organizzata e di terrorismo. Al di fuori di questo

Redazione Altalex 2/18


Avvocati e GDPR: è tempo di data protection

ambito (cioè in caso di indagini su qualsivoglia altro reato), il dispositivo investigativo è ammesso in ambito
domiciliare solo nel caso in cui sia in corso l’attività criminosa.

Importante segnalare che il controllo del flusso delle comunicazioni non avverrà con il semplice inserimento del
captatore ma con un comando da remoto secondo le indicazioni contenute nel decreto autorizzativo del giudice.

Entro 30 giorni dall'entrata in vigore della legge il ministro della giustizia dovrà approvare un decreto con le
specifiche tecniche dei software per la captazione tramite dispositivi mobili delle conversazioni (Trojan), oltre al
più generale decreto per disciplinare l'accesso all'archivio riservato dove saranno custodite le intercettazioni non
rilevanti ai fini processuali.

Domicilio digitale e firma digitale. L’11 dicembre scorso il consiglio dei ministri ha approvato il decreto
correttivo al Codice dell’amministrazione digitale. Diego Piacentini e l’avvocato Guido Scorza, rispettivamente
capo e coordinatore area legale del Digital team, hanno scritto un post esplicativo (Codice dell’Amministrazione
Digitale: le promesse mantenute e quelle mancate).

Anche in questo caso si tratta di un decreto correttivo del d.lgs. 26 agosto 2016, n. 179, che rappresenta la sesta
modifica apportata al testo originario del 2005. Segnaliamo che deve essere ancora pubblicato in Gazzetta
ufficiale.

Tra le principali novità indichiamo quelle che ci sembrano più pertinenti ad un interesse professionale legale: il
nuovo concetto di “forma scritta” valida legalmente al di là della apposizione di firma digitale o elettronica, il
domicilio digitale, il Difensore civico digitale unico (anche se ci vorrà del tempo).
Quello che vogliamo qui evidenziare, con l’aiuto dello stesso Scorza, è l’impatto che le modifiche relative ai
documenti digitali e domicilio digitale avranno sullo svolgimento dell’attività forense.

Per quanto riguarda i documenti digitali, la mission del nuovo testo è quella di “garantire maggiore certezza
giuridica in materia di formazione, gestione e conservazione dei documenti digitali”. Lo strumento non è
definito, nel senso che qualsiasi sistema- diverso dalla firma digitale, dalla firma elettronica avanzata o da quella
semplice (sottoposta al vaglio del giudice) - potrà essere ammesso in modo che un documento informatico (un
contratto, una informativa privacy etc) possa produrre gli stessi effetti giuridici della cosiddetta scrittura privata,
anche senza che i suoi firmatari dispongano di una firma digitale o elettronica avanzata.

Certificare la bontà del sistema (cioè la certezza della identificazione dei firmatari e l’autenticità del documento)
sarà compito di Agid.

“L’idea è quella di rendere aperta la lista dei sistemi - piattaforme, app etc- che a determinate condizioni
possono produrre documenti che hanno la stessa valenza giuridica di un documento sottoscritto con firma
digitale o elettronica”, chiarisce ad Avvocatoquattropuntozero Scorza. “I sistemi più prossimi sono la blockchain
e le piattaforme di home banking; ma altre soluzioni tecnologiche potranno essere ammesse ove certificate da
Agid”. Cosa cambierà per gli avvocati? “Che dovranno tenere sotto controllo più sistemi di formazione del
documento per valutarne la validità”, specifica Scorza.

A ben vedere questi nuovi sistemi daranno più filo da torcere ai notai, piuttosto che agli avvocati.

Redazione Altalex 3/18


Avvocati e GDPR: è tempo di data protection

Poco impatto a livello professionale avrà invece la norma sul domicilio digitale, visto che gli avvocati ne devono
già disporre obbligatoriamente per i processi telematici già in vigore.

Come cittadini, però, potranno eleggerne un secondo al quale – per obbligo- le amministrazioni pubbliche
dovranno inviare tutte le comunicazioni personali (multe, rimborsi etc). “Contiamo che a marzo prossimo sarà
attivo il registro degli indirizzi di domicilio digitale”, pronostica Scorza.

Countdown per il regolamento europeo sulla Data protection. Ma con un occhio al garante della
privacy…nazionale. Sul GDPR Altalex ha pubblicato molti articoli (da ultimo: Intelligenza artificiale, nuovi
sistemi di cyber security ma attenti al GDPR).

Ricordate che la deadline è il 26 maggio 2018, data alla quale il regolamento europeo sarà pienamente efficace e
le sanzioni…comminabili. Ricordate anche che le misure di “protezione” dovranno essere adeguate e
proporzionate alla effettiva tutela e alla reale esposizione al rischio di violazione dei dati personali dei vostri
clienti e dipendenti. Quindi innanzitutto è importante avviare una “due diligence” all’interno del vostro studio
legale.

Sappiamo che il provvedimento comunitario è un regolamento, dunque direttamente applicabile. Tuttavia la


Legge di Bilancio 2018, n. 205 (G.U. n. 302 del 29-12-2017) contiene una serie di norme (commi da 1020 a 1025)
che ribadiscono le competenze del garante della privacy anche alla luce del nuovo ordinamento della Data
protection (circostanza, questa, che ha fatto storcere il naso a qualche interprete, che ha evidenziato come i
compiti dei Garanti nazionali sono già indicati nel regolamento negli articoli 51 e seguenti del GDPR).

Perché è importante tenere sotto controllo l’attività del garante? Perché la legge di Bilancio, appunto, prescrive
che entro due mesi dalla data in vigore della legge di Bilancio (dunque entro il ) il Garante debba adottare propri
provvedimenti per disciplinare le modalità attraverso le quali il Garante stesso monitora l’applicazione del
regolamento GDPR e vigila sulla sua applicazione; per disciplinare le modalità di verifica, anche attraverso
l’acquisizione di informazioni dai titolari (del trattamento, ndr) dei dati personali trattati per via automatizzata o
tramite tecnologie digitali, della presenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i
dati sono messi a disposizione dei soggetti interessati; per predisporre un modello di informativa da compilare a
cura dei titolari (del trattamento, ndr) di dati personali che effettuano un trattamento fondato sull’interesse
legittimo che prevede l’uso di nuove tecnologie o di strumenti automatizzati; per definire linee-guida o buone
prassi in materia di trattamento dei dati personali fondato sull’interesse legittimo del titolare. Infine, pare
introdurre un nuovo “obbligo” di notifica laddove prevede che il titolare (del trattamento, ndr) di dati personali
ove effettui un trattamento fondato sull’interesse legittimo che prevede l’uso di nuove tecnologie o di strumenti
automatizzati, debba darne tempestiva comunicazione al Garante.

Legge di Bilancio e digitalizzazione dei processi. Come sempre, quando si tratta di stanziare risorse il Ministero
della Giustizia indica le priorità del triennio, in questo caso 2018-2020.
Tra le maglie della Tabella 5 è dunque possibile individuare i capitoli di bilancio destinati a finanziare le priorità
telematiche del Ministero di Via Arenula, almeno per l’anno in corso e salvo diverse determinazioni post
elettorali! Alla voce Sviluppo degli strumenti di innovazione tecnologica in materia di informatica e telematica
per l’erogazione dei servizi di giustizia viene così stanziata la cifra in competenza di 214 milioni 11,362 euro. Una
cifra al limite della sufficienza, segnala lo stesso Ministero, tale da mettere a rischio la continuità della

Redazione Altalex 4/18


Avvocati e GDPR: è tempo di data protection

erogazione dei servizi informatici.


Il primo obiettivo messo nero su bianco è quello di completare la diffusione del Sistema informativo della
cognizione penale (Cicp) presso tutti gli uffici giudiziari di primo e secondo grado, premessa indispensabile per
l’avvio del Processo penale telematico. L’obiettivo è integrare in uno unico, i diversi applicativi utilizzati in sede
locale, con l’obiettivo di coprire un numero di procura tra il 30 e il 60% nel 2018. Rientra nel programma penale
anche il potenziamento del Portale delle notizie di reato, con il coinvolgimento graduale di tutte le forze di
polizia e le altre fonti. Il secondo macro obiettivo è quello di sviluppare gli applicativi per la estensione del
processo civile telematico in Corte di Cassazione e presso gli uffici del Giudice di pace (in questo caso nel 2018
l’obiettivo è raggiungere l’85% degli uffici).

Tra la priorità anche la sicurezza e l’affidabilità di reti e dati. Nel civile l’obiettivo è quello di concentrare i sistemi
del civile in tre sale server, potenziare la cyber security e la banda di rete unitaria su tutto il territorio
nazionale.La sicurezza e attendibilità dei dati riguarda ovviamente anche il sistema delle intercettazioni.

Cryptovalute e crittografia… se lo dice Mark! Ha fatto molta presa sul web l’ultimo post di Mark Zuckerberg, con
il quale mister Facebook ha annunciato la “nuova” politica del social (più rose e fiori e niente hate speech o fake
news…). Quello che qui mi preme evidenziare – ad uso di Avvocato 4.0 – è il proposito di “restituire il potere alle
persone, decentralizzando la tecnologia” e realizzando semplicemente un controllo come grande player
tecnologico. Mark cita due “importanti indicatori, che prendono il potere dai sistemi centralizzati e lo mettono
nelle mani delle persone: crittografia e criptovaluta, ma che hanno il rischio di essere più difficili da controllare”.
Per questo, annuncia Zuck, “mi interessa approfondire e studiare gli aspetti positivi e negativi di queste
tecnologie e il modo migliore per utilizzarle nei nostri servizi”.

Perché questa dichiarazione interessa voi Avvocati? Perché abbiamo già evidenziato come la tecnologia
blockchain, per esempio, possono avere un affetto disruptive sulle attività legali ogniqualvolta ci sia da
“decidere” qualcosa (chi può escludere un sistema di arbitraggio per blockchain?) o “proteggere” un bene (Ti
lascio una canzone ma con la blockchain).

E se si muove Zuck, c’è da temere un forte impatto da marketing sostitutivo…

(Altalex, 9 gennaio 2018. Articolo di Claudia Morelli)

Redazione Altalex 5/18


Avvocati e GDPR: è tempo di data protection

Big Data sempre più BIG


ma ugualmente nostri:
come difenderli?
In questo articolo proponiamo un approfondimento sul tema dei BIG DATA
sotto diversi aspetti ma con un fil rouge comune: il ruolo che gli avvocati hanno
in questa nuova partita digitale. Con l’aiuto dell’avvocata Paola Pucci dello
studio legale Toffoletto De Luca Tamajo e di Fabrizio Cirilli, tratteremo l’aspetto
delle tutele attivabili - allo stato dell’arte - in caso di trattamento scorretto;
quello delle garanzie che gli operatori della giustizia (avvocati e istituzioni)
dovrebbero garantire; e quello della compliance delle imprese, che ancora una
volta interpella i legali come consultant. Buona lettura!
Sempre più Big, è vero; ma pur sempre nostri. Sono i Big Data, i dati personali e non personali di ciascuno di noi,
che sono raccolti in ogni dove sul web (memorizzati o in streaming), dai social, dalle mail e che vengono trattati
ai fini più disparati, di marketing - di sicurezza – di contrasto – di servizio.
Tanto sono collegati ai nostri diritti fondamentali (con il rischio più che concreto di violarli) che il Parlamento
europeo ne ha diffusamente trattato in una risoluzione votata nella primavera scorso, che però è stata
pubblicata in tutte le lingue dell’Unione proprio qualche giorni fa (Risoluzione del Parlamento europeo sulle
implicazioni dei Big Data per i diritti fondamentali: privacy, protezione dei dati, non discriminazione, sicurezza e
attività di contrasto). Basterebbe solo il titolo a mettere in guardia gli avvocati, che dei diritti fondamentali di
cittadini e imprese sono i guardiani rispetto ad ogni potere “costituito”, di governo o economico. Ma cosa è
necessario che l’avvocato 4.0 sappia?

Big Data e il mercato. Un mercato in espansione forsennata: a livello europeo cresce del 40% all’anno, sette
volte di più che il mercato della ICT. In Italia, secondo l’Osservatorio Big Data Analytics del Politecnico di Milano,
il settore vale più di un miliardo all’anno, +22% rispetto al 2016. ll 42% della spesa va in software, il 33% in
servizi, il 25% in infrastrutture abilitanti. Le grandi imprese rappresentano l'87% del mercato, ma crescono gli
investimenti delle PMI.

Redazione Altalex 6/18


Avvocati e GDPR: è tempo di data protection

La totalità delle grandi imprese utilizza i descriptive analytics, strumenti che descrivono la situazione attuale e
passata dei processi aziendali (+11%).

L’area di maggiore interesse per le imprese è quella dei predictive analytics, gli strumenti avanzati che
consentono di effettuare previsioni sull’evoluzione del mercato e sulle strategie, già diffusi nel 73% dei casi. Sono
ancora indietro, invece, i prescriptive analytics (tool avanzati capaci di proporre soluzioni sulla base delle analisi
svolte) e ancora di più gli automated analytics (che avviano autonomamente l'azione proposta secondo il
risultato delle analisi), diffusi prevalentemente a livello pilota.

Il settore più interessato nel mercato degli Analytics tra le grandi imprese è quello bancario (28%), seguito da
manifatturiero (24%), telecomunicazioni e media (14%), PA e sanità (7%), servizi (8%), GDO (7%), utility (6%) e
assicurazioni (6%). Per le aziende lavorare con le Big Data Analytics significa migliorare l’engagement con il
cliente (70%), incrementare le vendite (68%), ridurre il time to market (66%), ampliare l’offerta di nuovi prodotti
e servizi e ottimizzare l’offerta attuale per aumentare i margini (64% ciascuno), ridurre i costi (57%) e cercare
nuovi mercati (41%). Risultati poi effettivamente ottenuti.

Big data: opportunità e rischi. E’ evidente che questa gemmazione produce valore aggiunto: per le imprese, ma
in fondo anche per noi cittadini che possiamo usufruire di servizi sempre più personalizzati.

E tuttavia gli aspetti critici sono numerosi, tutti sinteticamente segnalati dal Parlamento Ue: la raccolta e il
trattamento dei big data mettono a rischio la protezione dei diritti fondamentali sotto il profilo della privacy, dei
principi di protezione e sicurezza dei nostri dati, della libertà di espressione e del divieto di discriminazione; la
raccolta dei dati personali si mischia e confonde con la raccolta di quelli non personali, in un reticolo di sensori,
social media, e altre fonti varie. La raccolta pone problemi metodologici e di trasparenza, così come il
trattamento tramite algoritmi.

In pratica, al momento attuale, non siamo in grado di valutare la trasparenza della raccolta, il rispetto della
genuinità del dato, così come la imparzialità dell’algoritmo e le correlazioni proprie della procedura di
trattamento dei dati. L’utilizzo degli algoritmi definisce anche l’accesso alla informazione, ponendo così anche un
problema di pluralismo e diritto alla informazione (vi ricordate la campagna di marketing politico di Trump, che
ha segnato la vittoria su Hillary Clinton?)
Nessuna garanzia è fornita riguardo alla anonimizzazione o alla pseudonimizzazione, quindi non è remoto il
rischio che si possa risalire a ciascuno di noi. Le implicazione negative potrebbero essere molteplici perché in
teoria l’algoritmo potrebbe non solo ridisegnare i nostri contorni personali ma – sappiamo- anche spingersi a
fare predizioni sul nostro comportamento futuro (i sistemi predittivi applicati alla pubblica sicurezza in Usa sono
già una realtà).

Cosa occorre tenere sotto controllo. Trasparenza: le aziende ma anche i pubblici poteri dovrebbero offrire alle
persone informazioni significative sulla logica utilizzata e le conseguenze previste e permettere loro di
comprendere e monitorare le decisioni che le riguardano.

Le norme, ovviamente. Il trattamento dei dati personali può essere effettuato solo a norma dell’articolo 6 del
regolamento (UE) 2016/679 (il cosiddetto GDPR). La legislazione dell'Unione in materia di protezione della
privacy e dei dati personali, il diritto all'uguaglianza e alla non discriminazione nonché il diritto dei singoli di

Redazione Altalex 7/18


Avvocati e GDPR: è tempo di data protection

ricevere informazioni riguardanti le logiche sottostanti ai processi decisionali automatizzati e alla profilazione,
come pure il diritto di ricorso sono applicabili al trattamento dei dati anche quando questo è preceduto da
tecniche di pseudonimizzazione e, in ogni caso, quando l'uso dei dati non personali può ripercuotersi sulla sfera
privata dei singoli o su altri diritti e libertà.

Fiducia tramite l’approvazione di norme scientifiche ed etiche chiare che rendano evidente che l'analisi
predittiva basata sui Big Data è in grado di offrire solo una probabilità statistica e, pertanto, non può mai
anticipare con precisione il comportamento individuale.

Formazione/consapevolezza dei cittadini, per evitare l'utilizzo di informazioni personali in modi non
intenzionali; per conoscere i principi e le logiche di funzionamento degli algoritmi e dei processi decisionali
automatizzati nonché del modo per interpretarli in maniera significativa; per conoscere i luoghi e le modalità di
raccolta dei flussi di dati (ossia web scraping, combinazione dei dati di streaming con i dati delle reti sociali e dei
dispositivi collegati e aggregazione degli stessi in un nuovo flusso di dati).

Pseudonimizzazione, l'anonimizzazione o la crittografia sono tecniche per ridurre i rischi. Il GDPR ritiene la
pseudonimizzazione una misura di sicurezza adeguata. Codici di condotta e sistemi di certificazione promossi sia
dal settore pubblico che da quello privato e gli altri titolari del trattamento dei dati sarebbero auspicabili, per
garantire una maggiore certezza quanto ai loro obblighi specifici a norma del diritto dell'Unione.

Sicurezza. Utilizzare la privacy fin dalla progettazione e per impostazione predefinita (privacy by design),
tecniche di anonimizzazione e, ove del caso, di crittografia nonché condurre valutazioni obbligatorie dell'impatto
sulla privacy da parte di tutti gli attori coinvolti nell'analisi dei Big Data nei settori pubblico e privato, come pure
da “altri attori” che si occupano di dati sensibili, come ad esempio avvocati, giornalisti e persone che lavorano
nel settore sanitario, in modo da garantire che i Big Data non aumentino l'esposizione delle informazioni ai rischi
della sicurezza.

Proporzionalità. In caso di attività di raccolta e trattamento di dati finalizzati al contrasto della criminalità, la
direttiva (UE) 2016/680 esige che tali attività siano adeguate, pertinenti e non eccessive in relazione agli obiettivi
specificati, espliciti e legittimi per i quali i dati sono trattati. Il Parlamento U evidenzia che taluni modelli di
polizia predittiva sono più rispettosi della privacy di altri, per esempio laddove le previsioni probabilistiche sono
effettuate su luoghi o eventi e non su persone singole; chiede alle autorità di contrasto degli Stati membri che
ricorrono all'analisi dei dati di mantenere i più elevati standard etici nell'analisi dei dati e di garantire l'intervento
umano e l'assunzione di responsabilità nelle varie fasi del processo decisionale, non solo per valutare la
rappresentatività, la precisione e la qualità dei dati, ma anche per stabilire l'adeguatezza di ogni decisione da
adottare sulla base di tali informazioni.

Le tutele e gli avvocati. L’arma principale che gli avvocati hanno in mano per tutelare i diritti alla privacy e alla
protezione dei dati personali in caso di cattivo utilizzo dei Big Data sono le sanzioni salatissime che il
regolamento europeo introduce. Ugualmente terranno conto di questo aspetto nel caso in cui svolgano attività
di compliance per le imprese . “Il dato normativo a cui fare riferimento è senz’altro il codice della privacy
(decreto legislativo n. 196/2003 prima ancora la legge 675 del 1996), prima ancora del regolamento europeo
che diventerà efficace il 25 maggio prossimo. Il codice prevede norme cogenti e precise”, ricorda l’avvocata
Paola Pucci, partner dello studio Toffoletto De Luca Tamajo e responsabile del team Privacy “Ogni volta che una

Redazione Altalex 8/18


Avvocati e GDPR: è tempo di data protection

azienda, una organizzazione, un ente pubblico, chiede ad un soggetto di indicare i suoi dati gli deve fornire una
informativa chiara sulla tipologia di trattamento, sul luogo di conservazione, sul responsabile del trattamento
etc.” E’ vero che la pratica ha dimostrato che anche a fronte di condanne rilevanti - come quella che la Corte di
Giustizia Ue ha comminato a Google – la compliance dei grandi del web è piuttosto scarsa. “Ma questo dato è
destinato a cambiare da maggio, appunto. Da una parte il regolamento, con i suoi nuovi adempimenti, è stato
scritto pensando proprio ai grandi player del web: non è importante dove la società abbia la sede legale; se
svolge una attività commerciale all’interno della Ue è tenuta ad osservarne le regole privacy nella raccolta e nel
trattamento dei dati. Deve essere chiaro all’utente che l’utilizzo dei suoi dati deve essere limitato alla
prestazione dello specifico servizio reso dalla società. La profilazione richiede un consenso specifico, invece. Se
essa viene effettuata senza il consenso degli interessati scattano le sanzioni, pesantissime: da 20milioni di euro
fino al 4% del fatturato mondiale. Credo che questo renderà la società molto prudenti nell’agire”, spiega Pucci.

E’ evidente che queste siano le prime aziende che raccolgono una altissima mole di dati e la rielaborano in
maniera complessa. “Quando si parla di Big Data occorre chiarire che non ogni raccolta o ogni trattamento
rientrano in questa categoria” specifica Fabrizio Cirilli, titolare di PDCA srl che si occupa di certificazioni ISO. “Il
Big sta ad indicare proprio la raccolta di milioni di dati, provenienti da persone collocate in molti diversi paesi, da
piattaforme diverse e che sono trattati e gestiti con sistemi complessi. A maggio sarà molto importante che ogni
struttura aziendale, istituzionale, professionale faccia una propria due diligence per capire il percorso che al suo
interno compiono i dati in possesso e per individuare gli eventuali snodi critici. E misurerà gli interventi di
conseguenza. Altrimenti si rischia di sparare ad un passerotto con un cannone”.

La figura del DPO, Data protection officer, potrà essere strategica ma occorre chiarirsi sul punto, soprattutto con
riguardo alla possibilità che siano gli stessi avvocati a svolgere questa funzione. “Sono state appena pubblicate le
linee UNI per la individuazione dei ruoli professionali promossi dal GDPR ( pubblicata il 30 novembre 2017 è la
norma UNI 11697:2017 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e
alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza): è accertato che questa figura-
che non è una professione ma svolge un ruolo – debba riflettere una preparazione giuridica e una tecnica, non di
poco conto. E dovrà formarsi attraverso percorsi specifici di 80 ore. Credo che il lavoro in team- tra avvocati e
figure più tecniche- sarà la soluzione migliore. Ma è importante che essi parlino lo stesso linguaggio. Credo che
in ciascun studio legale almeno un avvocato debba seguire il corso per essere certificato DPO”.

Il CCBE, la rappresentanza degli Ordini forensi in Europa, ha però indirizzato un warning: non sempre l’avvocato
può diventare DPO per la realtà aziendale che rappresenta: troppo diverse le mission e vi è il rischio di conflitto
di interessi . Il DPO infatti è una figura garante verso l’esterno/clienti; l’avvocato rappresenta gli interesse
dell’azienda). “Credo che sia sufficiente ovviare facendo in modo che all’interno dello studio legale che segue
l’azienda, il DPO sia un avvocato diverso dal team dedicato all’azienda purché mantenga la necessaria
indipendenza”, chiarisce Pucci.

Ma non si può parlare di Big Data senza considerare l’algoritmo che calcola, gestisce, riordina. Il Parlamento Ue
ne chiede la trasparenza. E’ possibile? “Sì, nel senso che più l’azienda è trasparente più si tutela contro denunce.
Il privato potrà sempre rivolgersi al garante della privacy se ritiene che il suo diritto alla privacy, alla non
discriminazione o all’oblio etc. siano stati violati. Certo, l’avvocato non potrà contestare l’algoritmo utilizzato che
è patrimonio dell’azienda, ma potrà verificarne l’impatto sul proprio cliente e valutare se esso corrisponde al

Redazione Altalex 9/18


Avvocati e GDPR: è tempo di data protection

rapporto contrattuale esistente. E’ evidente che i cospicui risarcimenti previsti possono invogliare a fare più
attenzione”, spiega Pucci che consiglia ai colleghi di conoscere approfonditamente sia il regolamento Ue che le
Linee guida del gruppo articolo 29, per essere pronti al 25 maggio.

(Altalex, 11 dicembre 2017. Articolo di Claudia Morelli)

Decreto legislativo 196/2003

Regolamento CE, Parlamento Europeo 27/04/2016 n° 679 (General Data Protection Regulation)

Linee guida Gruppo di lavoro ex articolo 29

CCBE Guidance on the main new compliance measures for lawyers regarding the General Data Protection
Regulation (GDPR)

CCBE Recommendations regarding the implementation of the General Data Protection Regulation (GDPR)

CCBE Guidance on Improving the IT security of lawyers against Unlawful surveillance

Redazione Altalex 10/18


Avvocati e GDPR: è tempo di data protection

Come difendersi dai virus


e dagli attacchi
informatici
Purtroppo l’Italia è tra i paesi più colpiti dai virus informatici ed in particolar modo dai Ransomware. Si registrano
continui casi di infezione a danno di PC privati come per importanti infrastrutture nel settore privato e nel
pubblico, pertanto si ritiene di fare cosa utile nel fornire indicazioni a tutti gli studi professionali al fine di
prevenire tale tipologia di infezione e non perdere i propri dati.

1) Prestare la massima attenzione ai messaggi di posta elettronica.

Solitamente il malware viene veicolato attraverso email contenenti allegati malevoli e indirizzati ad account di
posta di privati ed aziende. Il corpo della mail è preparato ad arte e facendo leva sull’importanza del documento
recapitato all’utente, lo invita a scaricare o visualizzare il file proposto che di solito riguarda un fantomatico
riscontro su spedizioni, ordini, fatture o bollette.

Al fine di non incappare in questa tipologia di malware è bene verificare, ove possibile, che:

• il dominio della casella di posta del mittente abbia una corrispondenza con l’entità (azienda, ente, società o
persona) scrivente;
• il nome dell’allegato non termini con un’estensione del tipo: .EXE, .JS, .CMD, .BAT, .SCR, .JAR, .PIF, .COM,
.PS1, .PS2, REG, .LNK, .INF .DLL, .MSC, .MSI, .HTA, .MSP;
• se il file allegato si riferisce ad un documento Microsoft Office con macro attivata (.DOCM, .DOTM, .XLSM,
.PPTM) si consiglia di disabilitare l’esecuzione automatica delle macro e verificare l’attendibilità del
documento.
In genere è bene prestare attenzione a tutti i file allegati inclusi in archivi di tipo .ZIP o .RAR poiché potrebbero
contenere all’interno altre tipologie di file malevoli.

2) Abilitare la visualizzazione delle estensioni in Windows.

Nativamente i sistemi operativi Microsoft Windows nascondono le estensioni dei file impedendo all’utente di
verificare visivamente la reale natura del documento. In diverse occasioni Cryptolocker ha sfruttato questa
impostazione per ingannare l’utente, ragione per cui si consiglia di cambiare le impostazioni di sistema

Redazione Altalex 11/18


Avvocati e GDPR: è tempo di data protection

deselezionando la casella di controllo “Nascondi le estensioni per i tipi di file conosciuti” raggiungibile da
“Pannello di controllo” -> “Aspetto e personalizzazione” -> “Opzioni cartella”.

3) Limitare l’accesso alle risorse di rete.

Alcune varianti di Ransomware con componente di cifratura sono in grado di controllare anche le risorse di rete
(cartelle condivise sia in lettura sia in scrittura). Il malware, nel caso in cui i permessi utente lo consentano, è in
grado di cifrare i documenti contenuti nelle cartelle condivise anche se la cartella è fisicamente presente su un
altro PC non infetto. Per questo motivo è necessario evitare di rendere permanente il collegamento a cartelle di
rete contenenti documenti di vitale importanza.

4) Fare copie di backup periodiche dei dati personali su dispositivi fissi o mobili.

È preferibile salvare su un hard disk esterno i documenti sensibili, è buona norma collegare l’hard disk su un
computer senza accesso alla rete internet e su dispositivi di cui si è certi di non aver precedentemente eseguito
azioni che potrebbero aver compromesso il sistema.

Si raccomanda di scollegare sempre il disco esterno non appena concluso il backup e riconnetterlo solo
all’occorrenza, come nel caso di successivi backup o per il ripristino dei dati. Valutare inoltre l’utilizzo di software
o dispositivi NAS con funzionalità automatiche di rilascio del disco esterno qualora conclusa l’attività o che
predispongano l’inserimento di una password per l’accesso allo storage.

5) Utilizzare un buon sistema antivirus eseguendo regolari e giornalieri aggiornamenti del prodotto.

Si rammenta che la protezione antivirus, regolarmente attiva e funzionante, rimane un valido deterrente
limitatamente alle minacce note ma non consente di ripristinare dati sottoposti a cifratura.

6) Mantenere aggiornato tutto il software.

È buona norma eseguire controlli periodici al fine di verificare l’eventuale rilascio di aggiornamenti di sicurezza
del sistema operativo e dei singoli programmi successivamente installati.

7) Se possibile, utilizzare un personal firewall.

Il firewall, nativamente disponibile in molti sistemi operativi, dovrebbe essere configurato in modo da consentire
la connessione verso internet solo alle applicazioni strettamente necessarie; così da impedire che eventuali
programmi e/o malware possano scaricare autonomamente codice malevolo.

In generale vale la regola di non eseguire file di dubbia provenienza e di operare sul sistema con privilegi utente
limitati, ad ogni modo le indicazioni sopra riportate non possono garantire una protezione completa contro
questa tipologia di virus, per cui si consiglia a tutti gli studi professionali sempre la massima prudenza.

Ulteriori consigli utili per evitare truffe informatiche

1. Bisogna proteggere sempre la propria password. Mai divulgarla e cambiarla periodicamente, almeno ogni 3
mesi. E’ opportuno, inoltre, utilizzare sempre il numero massimo di caratteri che vengono messi a disposizione

Redazione Altalex 12/18


Avvocati e GDPR: è tempo di data protection

dal sistema. In questo modo si rende più difficile la violazione da parte dei programmi che decriptano password.
Possibilmente non bisogna usare parole di senso compiuto, è fondamentale la combinazione di minuscole,
maiuscole, numeri e caratteri speciali ($@#). Non bisogna legare la password a parole della propria vita privata o
a date di nascita di familiari. Infine la password va cambiata per ogni account e va subito modificata quella
assegnata inizialmente in automatico.

2. Prima di inserire i dati personali in un modulo o in una pagina web, bisogna verificare la presenza di indicatori
che ne attestino la sicurezza (ad esempio che l’indirizzo contenga la scritta https e il simbolo del lucchetto chiuso
accanto). Per comunicazioni riservate deve essere utilizzato software di cifratura per criptare un documento (ve
ne sono tanto gratuiti scaricabili dalla rete come: Drag’n Crypt ULTRA, ProtectFile, PixelCryptor, FileDecoder,
ecc.). Nei social e nelle chat non vanno mai divulgate informazioni sensibili come il nome, l’indirizzo, il numero
telefonico, il numero di conto o la password.

3. Bisogna prestare molta attenzione alle informazioni personali quando si accede ad internet utilizzando una
rete che non si conosce o di cui non si è sicuri (ad esempio una rete Wi-Fi gratuita in un locale pubblico). Con
queste reti, chiunque nelle vicinanze, infatti con conoscenze informatiche adeguate potrebbe monitorare le
informazioni trasmesse tra il computer/smartphone e l’hotspot Wi-Fi. Inoltre se si possiede una rete Wi-Fi a
casa, bisogna proteggerla con una password sicura per evitare che altre persone la possano violare.

(Altalex, 12 ottobre 2017. Articolo di Michele Iaselli)

Redazione Altalex 13/18


Avvocati e GDPR: è tempo di data protection

Data economy: proprietà,


responsabilità e
incertezze nell’ “Internet
of Things”
Tra gli obiettivi del c.d. “Piano strategico per la realizzazione del mercato unico digitale”, elaborato dalla
Commissione UE all’interno del programma “Horizon 2020”, rientra l’attuazione di “un’iniziativa europea per il
libero flusso dei dati, per promuoverne la libera circolazione nell’Unione europea”.

La cosiddetta “data economy”, in buona sostanza, è uno dei temi caldi del dibattito europeo in materia di
circolazione di dati, personali e non, soprattutto in relazione ai diritti del cittadino/utente. Del resto, il tema della
“protezione” delle informazioni che circolano in rete non solo è sempre più attuale, ma si dimostra meritevole di
particolari accorgimenti giuridici da parte del legislatore comunitario: ciò in relazione alla crescente fiducia che i
consumatori europei ripongono nei c.d. “servizi online” e nelle piattaforme di e-commerce.

Nello specifico, il neonato concetto di data economy, ancora scevro da specifiche connotazioni dottrinali e
giurisprudenziali, si lega indissolubilmente ad un’altra componente tecnologica in forte ascesa in tutti i settori
dell’economia, vale a dire il c.d. “Cloud computing”. L’ormai famosa “nuvola” costituisce un vero e proprio silos
di informazioni digitali, oggetto, de facto, di numerose considerazioni giuridiche circa la natura e la proprietà dei
dati riversati all’interno di questo indefinito “contenitore virtuale”, nelle more di una definizione chiara di “data
storage”.

L’ecosistema data economy, costituito di dati e di data analytics, rappresenta il punto di partenza non solo per lo
sviluppo dell’e-government (che si declina, principalmente, attraverso la c.d. “Open P.A.”, un’ amministrazione
digitale a servizio diretto del cittadino), ma anche per la diffusione di nuove forme di business in materia di
ambiente, energy, salute, trasporto intelligente e smart cities. Una vera e propria economia digitale, dalle infinite
possibilità di applicazione nei più svariati settori, e che, dunque, necessita di una puntuale regolamentazione.

Redazione Altalex 14/18


Avvocati e GDPR: è tempo di data protection

La quaestio iuridica non si basa esclusivamente sulle tematiche della confidenzialità e della protezione delle
informazioni, delle comunicazioni e della c.d. cybersecurity, ma anche sul diritto di proprietà dei dati che
costituiscono l’economia digitale, e dunque sulle responsabilità e sui rapporti contrattuali che si instaurano
all’interno del menzionato ecosistema digitale.

In merito, la Commissione UE, in alcune comunicazioni recenti, ha già dichiarato la propria intenzione di
“applicare ai dati le regole del Trattato sulla libera circolazione del mercato interno”, promuovendo, sin d’ora, la
revisione di tutte le leggi e delle prassi amministrative interne agli Stati membri che possono in ogni modo
ostacolare la libera circolazione dei dati, fatte salve quelle speciali protezioni per informazioni e/o dati di
“interesse generale”.

Ed invero, all’interno del c.d. “Internet of Things”, dove interagiscono senza sosta prodotti, servizi e tecnologie,
la Commissione UE evidenzia diverse questioni rilevanti:

1. il regime di responsabilità da applicare, ovvero a quali soggetti va imputata la responsabilità all’interno del
circolo digitale (scenario che inevitabilmente apre alla creazione di nuovi modelli assicurativi ad hoc,
volontari o obbligatori);
2. i diritti di proprietà e i rapporti contrattuali inerenti i c.d. “dati grezzi”, ovverosia quei dati che si generano in
completa autonomia dalle interazioni e dai processi delle nuove tecnologie (si ricorda che, ad oggi, non
esiste una disciplina giuridica specifica per tali dati, se non quella “macro” sulla gestione e protezione delle
banche dati e sui segreti commerciali).
Indubbiamente, sarà necessaria l’elaborazione di soluzioni “tailor made”, per facilitare i consumatori, gli utenti e
i fornitori nell’identificazione non solo delle fonti dei dati ma anche delle piattaforme sulle quali scambiarli. In
questo contesto, la predisposizione di contratti ad hoc, con l’aiuto e con la supervisione di professionisti della
materia circa l’uso autorizzato dei dati grezzi, metterebbe al riparo le imprese da accuse di “pratiche
commerciali scorrette” in salsa “Cloud 2.0” (dato l’impatto e la forza commerciale insita nei dati dell’ecosistema
data economy).

Le soluzioni, in termini di regolamentazione, proposte dalla Commissione UE appaiono comunque una buona
base di partenza. Esse si sostanziano, principalmente:

• nell’introduzione di obblighi di accesso ai dati delle imprese da parte delle autorità pubbliche nel caso
sussistano motivi di interesse generale, fermo restando le misure relative alla protezione dei dati personali;
• nell’imposizione ai soggetti che detengono i dati grezzi dell’obbligo di concedere l’accesso a chiunque lo
richieda contro una prestazione di tipo economico, secondo logiche “fair, reasonable and non
discriminatory”.
Un profilo potenzialmente critico, non considerato dalla Commissione UE, riguarda la portabilità dei dati non
personali, anch’essi circolanti nell’area data economy. Sebbene il c.d. “Nuovo regolamento sulla protezione dei
dati personali” (Regolamento 2016/679/UE) preveda specifiche disposizioni in merito alla portabilità dei dati
personali, per quelli non considerati tali non esiste, attualmente, alcun tipo di obbligo/tutela. Tale vuoto
normativo potrebbe creare, in via del tutto ipotetica, ostacoli alla circolazione dei dati grezzi nei casi in cui un
soggetto voglia, con riferimento ai nuovi strumenti tecnologici, cambiare fornitore di servizi cloud.

L’attenzione che il legislatore comunitario sta dedicando al tema data economy, a prescindere dalla cornice
giuridica non ancora chiara e definita, è sicuramente notevole, soprattutto in chiave di accesso e diffusione dei

Redazione Altalex 15/18


Avvocati e GDPR: è tempo di data protection

dati grezzi e di tutela della concorrenza tra fornitori di “servizi 2.0”. Ancora sopito appare il dibattito nazionale
sul tema, nonostante l’economia digitale potrebbe in potenza modificare completamente l’assetto giuridico
vigente in determinate materie. La speranza è che il legislatore italiano si conformi quanto prima alle discussioni
comunitarie sulla data economy, onde scongiurare una fatale disattenzione.

(Altalex, 5 ottobre 2017. Articolo di Gianluigi Delle Cave)

Redazione Altalex 16/18


Avvocati e GDPR: è tempo di data protection

Data protection officer in


ambito privato: le
risposte del Garante
Il responsabile della protezione dei dati personali o data protection officer è una figura prevista dall'articolo 37
del nuovo Regolamento generale sulla protezione dei dati, regolamento che diventerà operativo il prossimo 25
maggio.

Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di
controllo e supporto, consultive, formative e informative relativamente all'applicazione del Regolamento
medesimo.

Il Garante della Privacy ha pubblicato sul proprio sito una scheda informativa per fornire risposte alle domande
più frequenti che sono state sollevate in merito al ruolo e alle caratteristiche che dovrà rivestire il data
protection officer nel settore privato.

Il data protection officer per svolgere la propria attività non dovrà essere in possesso di specifiche attestazioni
formali e non dovrà essere iscritto in appositi albi, ma dovrà conoscere in modo approfondito la normativa e la
prassi in materia di privacy, nonché le norme e le procedure amministrative che caratterizzano lo specifico
settore di riferimento.

Tale soggetto dovrà assicurare la consulenza necessaria per progettare, verificare e mantenere un sistema
organizzato di gestione dei dati personali, coadiuvando il titolare nell'adozione di un complesso di misure (anche
di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare.

Il Garante ha fornito importanti chiarimenti anche in merito ai soggetti che saranno tenuti a nominare il
responsabile della protezione dei dati personali. In particolare, il responsabile della protezione dei dati
personali dovrà essere nominato nei casi previsti dall'art. 37, par. 1, lett. b) e c), del Regolamento (UE)
2016/679.

Si tratta di soggetti le cui principali attività sono riconducibili a trattamenti che comportano il monitoraggio
regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di
dati personali o di dati relative a condanne penali e a reati.

Redazione Altalex 17/18


Avvocati e GDPR: è tempo di data protection

Nello specifico, il Garante ha tracciato un elenco esemplificativo e non esaustivo dei soggetti che dovranno
nominare il data protection officer; tali soggetti sono: società finanziarie; caf e patronati; istituti di credito;
imprese assicurative; sistemi di informazione creditizia; società di informazioni commerciali; società di revisione
contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; società operanti
nel settore delle "utilities" (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di
somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della
prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di
riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi
televisivi a pagamento.

Il Garante ha anche ribadito che nei casi diversi da quelli previsti dall'art. 37, par. 1, lett. b) e c), del
Regolamento (UE) 2016/679, la designazione del data protection officer non sarà obbligatoria.

Quindi, ad esempio, non avranno l'obbligo di nominare il responsabile della protezione dei dati i liberi
professionisti operanti in forma individuale; gli agenti, i rappresentanti e i mediatori operanti non su larga scala;
le imprese individuali o familiari; le piccole e medie imprese, con riferimento ai trattamenti dei dati personali
connessi alla gestione corrente dei rapporti con fornitori e dipendenti.

Nonostante tale non obbligatorietà il Garante, alla luce del principio di "accountability", raccomanda anche a tali
soggetti di nominare il responsabile della protezione dei dati.

Nel caso di un gruppo imprenditoriale il Garante ha chiarito che vi è la possibilità di nominare un unico
responsabile della protezione dei dati personali a condizione che tale responsabile sia facilmente raggiungibile
da ciascuno stabilimento, sia in grado di comunicare in modo efficace con gli interessati e di collaborare con le
autorità di controllo.

Il ruolo di responsabile della protezione dei dati personali potrà essere rivestito tanto da un dipendente del
titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i
trattamenti, quanto da un soggetto esterno.

Coloro che sono nominati data protection officer potranno svolgere anche altri incarichi a condizione che non vi
sia conflitto d'interessi con gli stessi.

Proprio per questo il Garante ha chiarito che sarebbe preferibile non assegnare il ruolo di responsabile della
protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del
consiglio di amministrazione; direttore generale; ecc.), ovvero nell'ambito di strutture aventi potere decisionale
in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione
finanziaria, responsabile IT ecc.).

(Altalex, 26 marzo 2018)

Redazione Altalex 18/18