Lo Studio Legale Nappo nasce con l’obiettivo di offrire alla Clientela assistenza e consulenza con particolare attenzione alle questioni riguardanti il diritto commerciale e societario, il diritto tributario, il diritto informatico, la contrattualistica, la protezione dei dati, i marchi e brevetti, nonché in ambito di diritto del lavoro e previdenziale, offrendo al cliente strumenti validi e continuità del servizio, serietà, competenza, preparazione e celerità d'azione per rispondere in tempo reale alle problematiche sottoposte. L’attività professionale offerta è sia di carattere stragiudiziale, sia di carattere giudiziale avanti a tutte le Magistrature. Attualmente l'Avv. Milena Nappo è DPO Certificato e Gestore della Crisi da Sovraindebitamento, è inserito nell'elenco dei legali esterni di ANAS Emilia Romagna e del Comune di Terre del Reno, è consigliere del Gruppo Professioni CNA di Ferrara e membro del CID CNA Impresa Donna Ferrara, è consulente per ASPPI Ferrara - Poggio Renatico, e fa parte della prestigiosa associazione Fidapa BPW Italy.
Visualizzazione post con etichetta Garante privacy. Mostra tutti i post
Visualizzazione post con etichetta Garante privacy. Mostra tutti i post

PRIVACY: REPORT ANNUALE DEL GARANTE EUROPEO PER LA PROTEZIONE DEI DATI PERSONALI

Dopo quasi 10 mesi dall'entrata in vigore del nuovo Regolamento Europeo in materia di dati personali ed il 26 febbraio 2019 il Garante europeo per la protezione dei dati ha pubblicato il report relativo all'anno 2018, illustrando dati, statistiche, azioni, obiettivi e le attività in progetto per il 2019.

Di seguito il link che rimanda al report del Garante Europeo.


Lo Studio Legale Nappo, specializzato nell'assistenza alle società e ai liberi professionisti, anche per quanto concerne l'adeguamento alla nuova normativa privacy, è a disposizione per qualsiasi chiarimento.
Avv. Milena Nappo. Powered by Nessun commento:
Categoria: , , ,

GDPR PRIVACY: COSA FARE

GDPR 2018 cosa fare
Acronimo di General Data Protection Regulation (regolamento europeo privacy), il GDPR entrerà in vigore a decorrere dal 25 Maggio 2018 e servirà a per tutelare la privacy di tutti i cittadini europei e uniformare le diverse regolamentazioni degli stati membri su tale argomento.

Secondo la Commissione Europea, per dati personali si intende ogni tipo di informazione di una persona fisica in relazione alla sua vita privata, professionale o pubblica.

Fra i dati personali ci sono ad esempio: nomi, foto, indirizzi email, informazioni bancarie, attività web o dei social network, informazioni sanitarie, indirizzi ip del pc. In tutti gli stati membri le leggi nazionali in materia di privacy dovranno armonizzarsi con il GDPR al fine di eliminare ogni dubbio per i soggetti tutelati ed i soggetti tutelanti, essendo obiettivo comune quello di poter continuare a trattare certamente i dati personali, ma nel pieno rispetto dei diritti dei soggetti destinatari del trattamento che prestano il loro consenso.
Chi deve preoccuparsi di mettersi in regola con il GDPR?
Tutte le aziende pubbliche e private che raccolgono i dati personali, anche se possiedono sedi e server fuori dal territorio europeo. Sono interessate dal regolamento anche le aziende che fanno business senza transazioni economiche.

Le novità del GDPR rispetto alla “vecchia” legge sulla privacy?
Quali sono i punti focali introdotti dal GDPR?
• Si passa dal concetto di “misure minime” al concetto di “misure adeguate” al trattamento dei dati personali.
• L’informativa sulla privacy deve essere scritta con un linguaggio comprensibile, deve spiegare come i dati vengono trattati e come può essere dato e tolto il relativo consenso.
• Ai cittadini che prestano il consenso al trattamento dei loro dati personali, deve essere garantito il diritto di poterne avere accesso gratuitamente, il diritto di richiederne la cancellazione completa, evitando un’ulteriore propagazione di tali dati, ed il diritto di poterli modificare in ogni momento.
• In caso di violazione dei dati personali, il titolare del trattamento deve notificare l’accaduto entro 72 ore ai rispettivi proprietari.
• È necessario richiedere esplicito consenso se i dati sono trattati o trasferiti fuori dal territorio europeo.
• Tutte le aziende e le amministrazioni pubbliche di grosse dimensioni che trattano grandi archivi di dati devono avere uno specifico responsabile: il DPO (Data protection officer), che può essere una figura interna o esterna.

I costi per le aziende derivanti dal GDPR
Le novità introdotte dal GDPR non lasciano dubbi sull’importanza che la privacy riveste oggi nella vita delle persone. Intrusioni informatiche, e spiacevoli fatti di cronaca che riguardano i dati delle persone, rappresentano un serio problema da affrontare con fermezza. Quando si parla di costi derivanti dall’adeguamento delle imprese italiane al regolamento europeo, bisogna dividere le spese fra burocrazia, formazione e tecnologia.

Quanto costa adeguarsi al regolamento europeo?
Porre la questione in questi termini non è certamente utile allo scopo. Non si tratta di spendere dei soldi a causa di un regolamento europeo, bensì di porre un certo riguardo alla protezione dei dati nel normale svolgimento delle attività lavorative, e sull’implementazione degli strumenti tecnologici giusti. La maggior parte dei costi nelle piccole aziende è dovuto ad un’errata scelta della tecnologia, causata da un approccio sbagliato al problema.

Quanto costa NON adeguarsi al regolamento europeo?
Chi non rispetta il GDPR rischia sanzioni fino a 20 milioni di euro o fino al 4% del fatturato annuale. Viene introdotto il concetto di proporzionalità della sanzione, e questo sottointende il fatto che ci saranno approfonditi controlli non solo sugli adempimenti burocratici, quanto sulle misure adeguate che l’azienda adotta per proteggere i dati personali: formazione del personale e strumenti utilizzati nel trattamento. Il costo di adeguamento è molto piccolo se visto nell’ottica di investire meglio nelle cose che già ci sono in azienda, mentre le sanzioni sono molto alte, per cui non c’è alternativa, bisogna adeguarsi e mantenere la propria azienda aggiornata.

Quali sono i rischi per i dati personali più comuni trovati nelle aziende?
Di seguito un breve elenco dei rischi per la privacy che abbiamo trovato nelle aziende visitate, rischi che necessitano di “misure adeguate” per la protezione dei dati personali. La qualità e la quantità di rischi proposti denotano come generalmente molte aziende non sono interessate alla protezione dei dati personali, sia propri che dei loro clienti.

Informative non a norma (ove presenti). Mancanza di consensi.
Mancato adeguamento dei contratti con i fornitori ed i consulenti esterni.
Assenza di Responsabili del Trattamento dei dati.
Accessi al sistema privi di password complesse.
Noncuranza della privacy da parte degli utenti.
Mancata formazione del personale.
Sistemi di videosorveglianza (1 su 2 non a norma).
Mancanza di controllo di chi accede ai dati all’interno dell’azienda.
Mancanza di registri per gli accessi ai dati.
Mancanza di backup aziendali affidabili e consistenti.

A chi rivolgersi per una consulenza e per gli adeguamenti richiesti dal regolamento?
Occorre effettuare l’analisi dei rischi?
È consigliato un documento che dimostri come l’azienda o l’ente abbia effettuato un’analisi dei rischi e posto in essere le misure necessaria ad impedire violazioni e perdite dei dati trattati. Tale analisi dei rischi dovrà necessariamente trovare riscontro nella pratica, cioè le misure descritte nel documento dovranno essere altresì implementate per ridurre il rischio.

Lo Studio Legale Nappo, in accordo con aziende leader del settore informatico, offre una consulenza completa per mettersi in regola con il GDPR, e propone dove necessario tutte le misure idonee giuridiche ed informatiche ad adeguare la propria situazione aziendale.

Il primo step è quello dell’analisi dei rischi,
il secondo step è quello dell’adeguamento giuridico e quello degli strumenti,
il terzo step è caratterizzato dalla formazione degli utenti e dalle verifiche periodiche.

Avv. Milena Nappo. Powered by Nessun commento:
Categoria: , , , ,

PROTEGGERE I DATI IN VIAGGIO

In viaggio occorre prestare attenzione ai dati, e ai dati per accedere ai dati. Durante gli spostamenti, infatti, si può viaggiare sia con materiale cartaceo, come agende e documenti stampati, sia con materiale elettronico, quali smartphone, tablet, notebook, memorie usb, hard disk portatili. Ciascuno di questi oggetti può, durante un viaggio, essere sottratto da un malintenzionato. 

Esistono due tipologie di ladri: quelli di forma e quelli di contenuto. 

 I primi sono attirati dal valore dell'oggetto in sè: quando sottraggono l'oggetto al possessore, tendono a selezionare quanto di loro interesse. Nel caso di un portatile, ad esempio, solitamente buttano l'hard disk e rivendono il computer usato dopo averlo dotato di nuovo hard disk. I secondi, ovvero i ladri di contenuto, invece, sono interessati al solo hard disk.

E' evidente dunque che i dispositivi elettronici che contengono una memoria di massa, rappresentano un potenziale rischio per i dati aziendali in quanto raramente i dati in essi contenuti vengono crittografati, ed in caso di smarrimento o furto, il loro contenuto sarà facilmente leggibile a chiunque li trovi. E' pertanto necessaria una preventiva protezione crittografica. 

Diverso è il discorso della carta stampata o scritta a mano: frequentemente ad esempio si annotano sulle agende codici e credenziali per accedere a dati aziendali o al cloud. 

 Altro aspetto cui occorre prestare attenzione è la digitazione di credenziali sui mezzi pubblici, su treno, aereo, autobus, e nei luoghi pubblici, per strada e nelle sale d'attesa. Nessuno si preoccupa che chiunque possa annotare le credenziali digitate, accedendo poi ai dati aziendali in un secondo momento. 

Anche gli access point per il collegamento ad internet, presenti negli hotel, negli spazi verdi, e su alcuni mezzi pubblici, potrebbero essere compromessi da malintenzionati che si appostano invisibili nella rete e tentano di carpire le informazioni degli utenti più sprovveduti. Risultano così a rischio le credenziali aziendali, le di accesso al proprio istituto di credito e quelle della posta elettronica, tanto per fare alcuni esempi. 

Questi sono solo alcuni dei rischi più probabili. 

 Il Codice della Privacy prevede l'adozione di misure minime di sicurezza obbligatorie, quali backup, procedure di disaster recovery, firma digitale. Un consulente legale, unitamente ad un consulente informatico, potranno coadiuvare il responsabile della sicurezza aziendale, analizzando i rischi e studiando adeguate procedure di sicurezza per proteggere i dati aziendali. 

 Guarda il VIDEO su https://youtu.be/8H6AX5F903w 

 Seguici su Twitter @MilenaNappo
Avv. Milena Nappo. Powered by Nessun commento:
Categoria: , , , , ,
Iscriviti a: Post (Atom)