Blog Archives

Dal Bardo a Dacca e Nizza
I risarcimenti fantasma alle vittime del terrorismo

Approfondimenti Rassegna Stampa0 comments

Articolo de LA STAMPA del 28 maggio 2018.

Cause per i fatti di Piazza San Carlo:
Aggiornamento rassegna stampa

Rassegna stampa0 comments

Nuovi articoli si aggiungono riguardo ai fatti di Piazza San Carlo del 3 giugno 2017.

La nostra rassegna stampa con gli articoli tratti da La Repubblica e La Stampa, rispettivamente del 13 e 14 aprile, 27 maggio e 2 giugno 2018. Continua a leggere

Muore dopo gastroscopia:
Errore o fatalità?

Rassegna stampa0 comments

Si preannuncia duro lo scontro tra periti sulle cause della morte del giornalista 47enne Mauro Pianta, avvenuta alle Molinette di Torino in seguito a complicanze successive ad una gastroscopia a radiofrequenze. Continua a leggere

La mamma di Giorgino:
“Il mio ragazzo ucciso un’altra volta
dallo Stato”

Rassegna stampa0 comments

Riportiamo in allegato l’articolo del Corriere Della Sera, a firma di Simona Lorenzetti, del 4 febbraio 2018.

L’adolescente fu accoltellato nei giardinetti di Borgo Vittoria, a Torino, otto anni fa.
La Corte d’Appello ha negato l’indennizzo ai genitori.

Articolo del CORRIERE DELLA SERA, 04-02-18

Operata di cataratta, perde la vista

Rassegna stampa0 comments

Riportiamo l’articolo del 20 gennaio 2018, tratto da Repubblica, relativo al caso della ex professoressa che ha fatto causa all’ospedale Cottolengo dopo aver perso la vista a seguito di un intervento di cataratta.

La donna è difesa in sede civile dagli avvocati Renato Ambrosio, Riccardo Catalano ed Erika Finale.

 

La battaglia di Maria Teresa
“figlia” del Talidomide

Rassegna stampa0 comments

Riportiamo l’articolo della “Nuova Periferia”, del 31/10/2017.

 

Obbligo di compliance e sanzioni applicabili

In evidenza0 comments

La data prevista per la piena applicazione del General Data Protection Regulation è stata fissata al 25 maggio 2018.

Entro tale data, ogni azienda dovrà essere in grado di dimostrare all’Autorità di Controllo, in particolare mediante l’adozione di standard di certificazione fondati su codici di condotta (allo stato ancora in fase di definizione), di aver adottato tutte le procedure tecnico organizzative imposte dalla normativa.

Il Regolamento non definisce in maniera specifica le misure tecniche minime da adottare, lasciando ai titolari del trattamento la facoltà di organizzare le proprie privacy policies secondo le specifiche esigenze aziendali ed in relazione alle finalità perseguite.

Ciò consente anche alle aziende di dimensioni più ridotte di adottare soluzioni tecniche organizzative personalizzate idonee a dimostrare la conformità al Regolamento senza dover necessariamente incorrere in costi elevati, i quali saranno parametrati in base alle effettive necessità d’impresa.

La violazione delle disposizioni inerenti i principi di base del trattamento, comprese le condizioni relative al consenso, ovvero i diritti degli interessati, è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Privacy Accountability: tra responsabilizzazione e dimostrabilità

In evidenza0 comments

Il testo del GDPR, ribadendo in prima battuta i principi generali in materia di raccolta, conservazione e trattamento dei dati (art. 5), pone infatti la sua maggiore attenzione sull’individuazione dei processi, attività, misure tecniche e organizzative, sanzioni e obblighi del titolare e responsabile del trattamento – accordandogli la facoltà di autodeterminarsi nella scelta – prevedendo che gli stessi “dovrebbero” tenere degli appositi e distinti registri, da mettere a disposizione dell’Autorità di controllo (cfr. considerando n.82), diretti a dimostrare, la conformità al regolamento delle attività di trattamento effettuate sotto la propria responsabilità.

Il registro delle attività di trattamento del titolare e del responsabile – che devono essere rispettivamente redatti, monitorati ed aggiornati secondo criteri unitari tali da garantirne la coerenza strutturale e funzionale, anche in ottica ispettiva – costituiscono quindi la misura organizzativa diretta a garantire un corretto ciclo di gestione degli adempimenti previsti, nonché lo strumento chiave su cui si fonda il principio di dimostrabilità imposto dal regolamento.

Si badi bene che l’obbligo normativo di tenuta dei registri, nonostante sia riservato solo a determinate realtà aziendali (art. 30 comma 5), in concreto si estende a tutti coloro che effettuano attività di trattamento, avendo il principio di dimostrabilità, su cui si fonda l’intera normativa, una portata ampia e generale.

La disciplina specifica dei registri delle attività di trattamento, la cui struttura e modalità di attuazione viene lasciata alla discrezionalità dei soggetti interessati – salvo l’onere di dimostrare l’iter logico che ha portato ad assumere una determinata impostazione e le ragioni per cui la stessa venga ritenuta idonea a soddisfare la normativa – è contenuta nell’art. 30 del GDPR, recante le prescrizioni applicative e l’elenco degli elementi tassativi e delle informazioni relative alle attività di trattamento.

Al fine di adempiere alle prescrizioni regolamentari, la documentazione attestante la compliance con la normativa europea dovrà essere estremamente intellegibile ed improntata su una roadmap strutturata mediante:

  • Un’analisi preliminare dell’organizzazione dell’attività, elencazione dei servizi esternalizzati, elenco soggetti terzi coinvolti nel trattamento, monitoraggio e gestione adempimenti per il trasferimento dei dati all’estero, mappatura dei processi, censimento dei trattamenti dei dati personali;
  • L’individuazione dei ruoli e delle responsabilità in capo ai soggetti coinvolti nel trattamento, informazioni sulla base giuridica del trattamento (seppur non obbligatoria, estremamente utile per predisporre una corretta documentazione informativa ex art. 13), le procedure per l’esercizio dei diritti dell’interessato;
  • La definizione delle politiche di sicurezza e della valutazione dei rischi per ogni servizio e applicativo – mediante indicazione degli strumenti tecnologici impiegati (strumenti MDM (Mobile Data Management), sistemi DLP (Data Loss Prevention), Content Filtering, sistemi di log retention), modalità e tempi di conservazione e cancellazione dei dati;

L’adozione di misure tecniche per garantire un livello di sicurezza adeguata al rischio ex art. 32.

Standard tecnici ai fini della compliance

In evidenza0 comments

Ai fini di una completa e corretta gestione degli adempimenti imposti dal regolamento, si rende necessaria la stretta collaborazione di due figure professionali – l’esperto legale con imprinting tecnico ed il “puro” consulente tecnico specializzato in sicurezza informatica – che interagiscano sinergicamente nella messa in atto delle misure tecniche ed organizzative dirette a garantire – e soprattutto a dimostrare – la conformità del trattamento dei dati al Regolamento. Tenendo conto delle finalità del trattamento, si ravvisa quindi la necessità di organizzare la struttura dei dati aziendali secondo elevati standard di sicurezza – tenuto conto delle dimensioni dell’attività – idonei a tutelare sia la struttura aziendale che i diritti degli interessati, tra cui:

  • Analisi preliminare dell’organizzazione dell’attività, elencazione dei servizi esternalizzati, elenco soggetti terzi coinvolti nel trattamento, monitoraggio e gestione adempimenti per il trasferimento dei dati all’estero, mappatura dei processi, censimento dei trattamenti dei dati personali;
  • Definizione delle politiche di sicurezza e della valutazione dei rischi per ogni servizio e applicativo – mediante indicazione degli strumenti tecnologici impiegati (strumenti MDM (Mobile Data Management), sistemi DLP (Data Loss Prevention), Content Filtering, sistemi di log retention, modalità e tempi di ripristino, conservazione e cancellazione dei dati;
  • Ridefinizione della struttura degli accessi ai server aziendali in base ai ruoli ed i livelli di autorizzazione di ciascun incaricato;
  • Attività di monitoraggio e predisposizione di misure tecniche per la prevenzione e gestione dei fenomeni di data breach.

Attività di Testing per verificare la solidità degli strumenti di protezione da vulnerabilità sistemiche e fenomeni di attacco informatico, sia esterni che interni, mediante simulazioni di accesso a rete informatica, verifica dei LOG e delle modalità di conservazione dei dati, test antivirus/sicurezza rete (detenzione di codice maligno).

I punti salienti del regolamento CEE 679/16
in materia di protezione dei dati personali

In evidenza0 comments

Mediante l’adozione del Regolamento Generale sulla Protezione dei dati introdotto con Regolamento CEE 679/2016, il legislatore Europeo, mutando completamente impostazione rispetto al passato, propone un articolato scenario normativo in materia di privacy imponendo alle aziende – quali soggetti titolari del trattamento dei dati – di farsi parte diligente nella gestione complessiva del trattamento mediante la predisposizione di misure tecniche e organizzative idonee a garantire un livello di sicurezza dei dati adeguata al rischio insito nell’attività esercitata.

In particolare, è necessario che il titolare implementi la protezione dei dati “by design”, ovvero intrinsecamente in ogni fase del trattamento in modo da garantire che vengano soddisfatti i requisiti del regolamento e in funzione della tutela dei diritti degli interessati, e che l’attività di trattamento venga effettuata sin dal principio, ovvero “by default”, unicamente con riferimento soli dati necessari in relazione alle finalità per cui vengono trattati, mediante l’adozione di misure tecniche e organizzative che offrano garanzie adeguate.

Altro elemento chiave è la valutazione del rischio d’impatti negativi sulle libertà e i diritti degli interessati derivante dal trattamento informatico e tenuto conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) che il titolare ritiene di dover adottare per mitigare tali rischi.

Si rileva quindi lo spostamento del controllo in un momento successivo, riducendo se non eliminando il potere “autorizzativo” del Garante che dovrà limitarsi a indicare le misure ulteriori eventualmente da implementare a cura del titolare e potrà, ove necessario, adottare tutte le misure correttive ai sensi dell’art. 58 come ammonimento del titolare o limitazione/divieto a procedere per il trattamento.

Pagina 1 di 712345...Ultima »