Mercoledì 11 aprile 2018 parteciperò come relatore alla conferenza GDPR Day che si terrà a Milano presso il Novotel Milano Ca’ Granda Hotel in Viale Suzzani, 13. Il mio intervento verterà sull’analizzare le tecniche, i principi e gli strumenti dell’informatica forense applicati alla protezione dei dati in ambito GDPR, al fine di agevolare la cosiddetta forensic readiness, cioè la predisposizione dell’azienda a gestire secondo i canoni della digital forensics eventuali attività legate a data breach o reati informatici.
Secondo il nuovo GDPR – il regolamento europeo sulla protezione dei dati – le aziende devono infatti garantire il monitoraggio, la raccolta dati e il pronto intervento in caso di data breach, con l’obbligo di notificare al Garante in tempi brevi l’avvenuta data exfiltration con diversi dettagli circa i dati fuoriusciti e le contromisure prese dall’azienda.
Per poter adempiere a questi doveri impartiti dal GDPR, è necessario che l’azienda si doti di un piano di forensic readiness avvalendosi di tecniche, servizi e strumenti di eDiscovery e Digital Forensics utili per fine di cristallizzare le evidenze digitali, analizzarle e produrle come prova a valore legale.
Per aiutare le aziende a gestire eventuali data breach secondo criteri di forensic readiness, il seminario illustrerà metodologie, tecniche e strumentazione che l’azienda può utilizzare per identificare, acquisire, conservare, analizzare e descrivere le prove informatiche così da soddisfare le richieste del Garante e allo stesso tempo informare debitamente eventuali assicurazioni, azionisti, clienti o soggetti i cui dati sono stati interessati dal data breach.
Programma della Conferenza sul GDPR
Il programma della conferenza sul GDPR e Data Protection che si terrà a Milano è il seguente:
8:30-9:30 Accredito partecipanti
9:40-09:55 Benvenuto da parte di AreaNetworking.it ed Inside Factory (Federico Lagni e Samuel Lo Gioco)
0:00-10:25 Introduzione al GDPR: quali sono le reali novità? (Monica Dossoni)
10:30-10:55 GDPR & Cybersecurity: nuovi principi di responsabilità sui dati. (Francesco Dompieri)
11:00-11:25 Backup e Business continuity a prova di GDPR. Una guida per affrontare la sfida del momento. (Claudio Panerai)
11:30-11:50 Coffe Break
11:55-12:20 I ruoli delle varie figure: Titolare, Responsabile, sub-responsabile e Responsabile della Protezione dei dati. Requisiti formali e sostanziali. (Massimiliano Nicotra)
2:25-12:50 PMI? Keep calm and comply with GDPR Navigator (Roberto Lorenzetti)
12:55-13:20 GDPR e Digital Forensics: l’informatica forense a supporto della protezione dei dati. (Paolo Dal Checco)
13:25-14:25
Pausa Pranzo
14:30-14:55 GDPR, come fare la valutazione d’impatto (Pierluigi Sartori)
15:00-15:25 Rischio Data Breach: il fattore umano e le criticità trascurate (Adriana Franca)
15:30-15:55 GDPR – I miti da sfatare e cosa è importante sapere (Maurizio Taglioretti)
16:00-16:20 Coffe Break
16:25-17:00 Ruota libera: domande agli esperti. Tutto quello che avreste sempre voluto chiedere sulla GDPR.
17:00-17:10 Chiusura lavori
Dopo la giornata di Milano, la conferenza proseguirà nelle città di Padova, Roma e Bari.
Venerdì 16 e sabato 17 febbraio, a Torino, presso Sala Lauree Rossa del Campus Luigi Einaudi in Lungo Dora Siena 100A si terrà la conferenza su “Gli adempimenti di Sicurezza Informatica ai sensi del Regolamento Europeo in Materia di Protezione dei Dati Personali (GDPR)“, organizzata dall’Università degli Studi di Torino, Dipartimento di Giurisprudenza.
Moderatore: Prof. Massimo Durante (Università di Torino, Dipartimento di Girispreudenza)
14.30- 15.00
Registrazione partecipanti
15.00- 16.00 I principi della sicurezza nel “GDPR” e rapporto tra GDPR, Direttiva NIS e Regolamento E-privacy
Avv. Monica Senor (Studio Legale Catalano Penalisti Associati e Fellow del Nexa Center for Internet & Society)
Avv. Carlo Blengino (Studio Legale Catalano Penalisti Associati)
16.00-16:30
Il principio di accountability
Prof. Ugo Pagallo (Università di Torino, Dipartimento di Giurisprudenza)
16:30-17:30
Cyber Crime e compromissione dei dati
Prof. Cosimo Anglano (Università del Piemonte Orientale, Dipartimento di Informatica)
Avv. Carlo Blengino (Studio Legale Catalano Penalisti Associati)
Sabato 17 febbraio 2018: Violazioni e Rimedi
Moderatore: Prof. Massimo Durante (Università di Torino, Dipartimento di Giurisprudenza)
8:30-9:00
Internal auditing e DPIA: best practice
Avv. Giovanni Battista Gallus (Array – Studio Legale)
9:00-9:30
Misure minime e adeguate: Protezione dei dati personali by design e by default
Avv. Francesco Paolo Micozzi (Array – Studio Legale)
9:30-10:30
Gli standard di sicurezza: certificazioni e codici di condotta
Avv. Giuseppe Vaciago (R&P Legal studio associato)
Dr. Paolo Dal Checco (Consulente Informatico Forense)
10:30-11:30
Misure di sicurezza e gestione dei Data Breach
Prof. Francesco Bergadano (Università di Torino, Dipartimento di Informatica)
Fabio Cogno (Certimeter Group)
Luca Bechelli (P4I e Clusit)
11:30-12:00
Soluzioni assicurative per il trasferimento del rischio
Orazio Rossi (CHUBB Italia)
La conferenza sul GDPR che si terrà a Torino è gratuita per gli studenti, mentre richiede un contributo d’iscrizione di € 30 pr gli altri. Per informazioni o registrarsi all’evento sul GDPR è sufficiente contattare la Dr. Paola Aurucci all’indirizzo [email protected].
Mercoledì 27 settembre si terrà a Milano il consueto appuntamento con il DFA Open Day, la giornata organizzata dall’associazione Digital Forensics Alumni di Milano, dedicata all’informatica forense in tutti i suoi aspetti, tecnici e giuridici.
Quest’anno i temi trattati durante la conferenza saranno GDPR e Investigazioni Aziendali oltre a Cifratura e Anonimizzazione come strumenti a supporto delle Investigazioni Digitali. I relatori sono esperti noti nell’ambiente della digital forensics, con ampia esperienza sui diversi aspetti che verranno trattati e approfonditi durante la giornata e ottima capacità di presentare al pubblico argomenti non facili da trattare.
Il seminario si terrà mercoledì 27 settembre 2017, dalle ore 08:30 alle 14:00 nell’aula Malliani, presso l’Università degli Studi di Milano in via Festa del Perdono 7 a Milano.
La partecipazione è libera con iscrizione gratuita da fare tramite piattaforma EventBrite all’indirizzo http://dfaopenday2017.eventbrite.it.
Il programma della conferenza è il seguente:
8.30 – 9.00 Registrazione partecipanti
9.00 – 9.15 Saluti iniziali e presentazione attività DFA Avv. Valerio Vertua, Presidente Consiglio DFA
9.15 – 9.45 Presentazione dei Corsi di Perfezionamento Prof. Avv. Pierluigi Perri, Università degli Studi di Milano
9.45 – 11.45 1° Sessione “Cifratura e Anonimizzazione: tecniche e strumenti giuridici a supporto delle Investigazioni Digitali” Avv. Gian Battista Gallus Andrea Ghirardini, Digital Forensics Analyst Ferdinando Ditaranto, Digital Forensics Analyst Moderatore: Avv. Donato Muscatella
11.45 – 12.15 Intervallo
12.15 – 13.45 2° Sessione: GDPR e Investigazioni Aziendali Avv. Giuseppe Vaciago Avv. Andrea Stanchi Moderatore: Mattia Epifani, Digital Forensics Analyst
Abbiamo già parlato dell’ottima iniziativa chiamata “IISFA for you“, novità proposta dall’Associazione IISFA e in particolare del suo Presidente Gerardo Costabile che prevede la pubblicazione settimanale di brevi video di 10 minuti su argomenti relativi all’informatica forense e alla sicurezza.
Delle interviste già pubblicate sul canale, una in particolare ho trovato interessante perché parla di una problematica che tutti i proprietari d’azienda si trovano ad affrontare prima o poi e, quindi, indirettamente anche i consulenti informatici forensi e gli Avvocati chiamati ad assistere il cliente.
L’intervista è quella realizzata da Gerardo Costabile all’Avv. Antonino Attanasio, membro del direttivo IISFA, che si occupa da diversi anni di diritti delle nuove tecnologie ed è specializzato in ambiti aziendali, tributari e amministrativi sempre legati alle nuove tecnologie.
L’intervista verte su un tema abbastanza dibattuto all’interno delle aziende e cioè i cosiddetti controlli difensivi, svolti dal datore di lavoro nei confronti del lavoratore dipendente o ex dipendente. Molto spesso la problematica è nota come la questione dei controlli sul computer del dipendente infedele o dell’ex dipendente e se ne dibatte da anni, giostrandosi tra lo Statuto dei Lavoratori, il Garante della Privacy, la legge su accesso abusivo, violazione di corrispondenza, GDPR, D.Lgs 231, etc…
Approfittando di una recente sentenza di conferma di licenziamento avvenuto tramite Whatsapp, Gerardo Costabile apre l’intervista chiedendo all’Avv. Attanasio qual è la modalità giusta e quali sono le regole all’interno dell’azienda per poter consentire al datore di lavoro, o comunque al management, di effettuare quelli che vengono chiamati in gergo i cosiddetti controlli difensivi dei lavoratori da parte del datore di lavoro.
L’avv. Attanasio risponde che “nel 2015 una riforma della normativa del mercato del lavoro ha introdotto il cosiddetto ‘divieto flessibile’ di controllo distanza dell’attività dei lavoratori. Mentre prima non era consentito l’utilizzo di impianti audiovisivi e altri strumenti da cui derivava la possibilità di controllare a distanza l’attività dei lavoratori, adesso questo utilizzo è consentito, per esigenze organizzative produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale.“. Attanasio precisa che “questo elenco non è un elenco casuale ma una gerarchia precisa, perché il patrimonio aziendale è riassuntivo delle esigenze organizzative produttive e della sicurezza del lavoro, che sono i tre elementi, le tre colonne portanti di qualsiasi azienda, senza le quali il patrimonio non è possibile.”
L’Avvocato aggiunge che “questo patrimonio non è costituito solo dei beni dell’azienda ma anche il posto di lavoro e patrimonio aziendale, quindi una tutela va concepita anche in funzione del lavoro di tutti, infatti parliamo di organizzazione. Si parla di organizzazione, di esigenze organizzative e quindi di beni e persone. Qual è l’eccezione a questo? L’eccezione a questo sono gli strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e gli strumenti di registrazione degli accessi delle presenze. E questo è ovvio perché le presenze e gli accessi sono connaturati alla prestazione al patrimonio aziendale, sono connaturati all’esecuzione del contratto, quindi per questi non si parla di controllo e quindi non c’è la necessità di una preventiva autorizzazione. Ovviamente se a questo vengono aggiunti altri temi che sono sovrabbondanti rispetto lo scopo, allora il divieto scatta. In effetti possiamo dire che la riforma del così detto Jobs Act non è altro che la traduzione, in parte, di tutto quello che la giurisprudenza ha elaborato. Soprattutto rimane sempre il succo della normativa sulla privacy che dice che in fondo i dati non possono mai essere utilizzati oltre lo scopo per cui sono dichiaratamente raccolti.”
Attanasio introduce quindi il concetto di strumenti personali e strumenti aziendali, precisando che “ben venga la distinzione tra strumenti personali strumenti aziendali. Sarebbe opportuno separare le due sfere, fare modo che l’azienda sia un patrimonio veramente condiviso, sia come tempo libero, sia come tempo destinato all’attività lavorativa. Come al solito è meglio la prevenzione di una repressione faticosa, improbabile e soprattutto molto costosa. E’ stato fatto riferimento al licenziamento intimato via Whatsapp dove giustamente, a mio avviso, il tribunale di Catania ha detto che i requisiti di forma ci sono tutti. La comunicazione è arrivata, nel senso che il lavoratore l’ha ricevuta, tanto è vero che fatto ricorso e aveva tutti gli elementi per fare ricorso. È ovvio che al limite poteva essere un problema del datore di lavoro indicare dei motivi puntuali e per i quali c’era la necessità di ottenere un riscontro sulla effettiva ricezione. Paradossalmente gli avvocati del lavoratore avrebbero potuto non far nulla, avrebbero potuto dire che non era dimostrabile che il lavoratore all’ avesse ricevuto o meno, che Whatsapp non è uno strumento di effettivo controllo del datore di lavoro. Quindi io non vedrei problemi su questo. I problemi ci sono laddove si utilizzano strumenti molto invasivi di cui non sia affatto la padronanza in termini di materialità, come può essere qualsiasi bene di compravendita materiale.”
Gerardo Costabile chiede quindi all’Avv. Antonino Attanasio ciò che tanti datori di lavoro si chiedono, e cioè “se una persona utilizza un computer, quindi in azienda, un portatile o comunque un computer, il datore di lavoro può durante la sua assenza entrare in quel computer, guardare la posta, guardare Internet, farsi una copia dai dati? E se sì, cosa è possibile e quando, ovvero, in quale contesto aziendale questo è possibile? È necessario fare delle azioni per poter puoi fare questa attività in modo occulto trasparente?”
L’avv. Antonino Attanasio risponde che “per quanto riguarda tutta la strumentazione aziendale, in qualsiasi momento, previa adozione di una policy chiara sul punto, ovvero i beni sono accessibili in qualsiasi momento il datore di lavoro. Gli strumenti aziendali no. La casella privata di posta del prestatore di lavoro no, la casella di posta elettronica assegnata dal datore al prestatore di lavoro sempre, perché aziendale. Il confine è questo. È chiaro che in casi dubbi è preferibile sempre una policy aziendale che descriva minutamente tutto l’utilizzo di questi strumenti, ma se vogliamo non è necessario di particolare elucubrazione, basta semplicemente fare ricorso ai principi base del codice civile.”
L’Avv. Attanasio procede con un esempio chiarificatore, adducendo che “non ci si fa nessun dubbio che una pala usata da un becchino non possa essere usata per scopi diversi di quello di scavare la terra per la bara, perché ci sono problemi igienici, problemi di sicurezza, problemi di tutela del patrimonio, è chiaro che tu la pala non la si può portare a casa e usarla per altre cose. E’ ovvio ed evidente, basta applicare questi principio di strumenti elettronici, facendo però mente locale sul fatto che lo strumento elettronico per sua natura genera l’immaterialità, l’inconsistenza, e quindi è difficile stabilire dove finisce il diritto e dove comincia un dovere, Per cui la soluzione migliore e la separazione, la qualifica aziendale di qualsiasi cosa impedisce l’uso privato a meno che come capita il datore di lavoro non faccio una deroga, ma si fa una delega poi ne subisce gli effetti“.
Il Presidente IISFA conclude osservando che “questo sicuramente è interessante come principio, noi consigliamo ai dipendenti, ai lavoratori e ai datori di lavoro di separare quello che la vita privata Facebook chat anche lo stesso Whatsapp che può essere utilizzato anche dal computer, come sapete, consigliamo di lasciare un po’ meno tracce, perché poi un’attività investigativa interna per motivi diversi può andare a impattare su dei dati che, impropriamente o involontariamente il dipendente hai inserito perché ha usato lo stesso sistema sia per motivi professionali sia per motivi più ludici privati ,che il datore di lavoro ha consentito senza andare a filtrare.”
L’Avv. Attanasio conclude facendo osservare come “con la necessità di integrare persone con disabilità il confine tra privato e aziendale diventerà molto molto evanescente, perché cambierà per forza l’approccio.“
Il Garante per la Privacy ha elaborato e pubblicato una prima Guida all’applicazione del Regolamento UE 2016/679 sulla Privacy in materia di Protezione dei Dati Personali, noto anche come GDPR, General Data Protection Regulation.
La Guida traccia un quadro generale delle principali innovazioni introdotte dalla normativa e fornisce indicazioni utili sulle prassi da seguire e gli adempimenti da attuare per dare corretta applicazione alla normativa, già in vigore dal 24 maggio 2016 e che sarà pienamente efficace dal 25 maggio 2018.
L’obiettivo della Guida è quello di offrire un primo “strumento” di ausilio ai soggetti pubblici e alle imprese che stanno affrontando il passaggio alla nuova normativa privacy e nel contempo far crescere la consapevolezza sulle garanzie rafforzate e sui nuovi importanti diritti che il Regolamento riconosce alle persone.
Il testo della Guida applicativa al nuovo GDPR è articolato in 6 sezioni tematiche:
Fondamenti di liceità del trattamento;
Informativa;
Diritti degli interessati;
Titolare, responsabile, incaricato del trattamento;
Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili;
Trasferimenti internazionali di dati.
Ogni sezione illustra in modo semplice e diretto cosa cambierà e cosa rimarrà immutato rispetto all’attuale disciplina del trattamento dei dati personali ex D.Lgs. n. 196/2003, aggiungendo preziose raccomandazioni pratiche per una corretta implementazione delle nuove disposizioni introdotte dal Regolamento.
La guida è disponibile per visione e download sul sito del Garante [WBM] in formato html e potrà subire modifiche e integrazioni, allo scopo di offrire sempre nuovi contenuti e garantire un adeguamento costante all’evoluzione della prassi interpretativa e applicativa della normativa.
