Diventa Autore per CoreTech | Scopri di più





GDPR – PRIVACY Analisi e gestione del rischio: quale regola tecnica scegliere?

20/07/20 Avvocato Dalla Riva Blog

dell’Avvocato Gianluca Dalla Riva

 

Una delle questioni che interessano molto agli MSP (Managed Service Provider) e, non solo, è capire quali sono le contromisure più corrette per mitigare il rischio nell’ambito dell’adozione di un modello di compliance privacy, in modo che se un domani si va dal Garante o davanti ad un giudice, non ci possano essere contestazioni.

Si vuole insomma una formula (magica) che permetta di scegliere le regole tecniche ed organizzative da applicare al proprio modello di gestione del rischio che garantisca certezza contro eventuali contestazioni.

Quando vai di fronte ad un giudice, di certo non c’è nulla, quindi non esistono formule magiche che permettano di raggiungere una certezza assoluta, ma certo si possono adottare soluzioni ragionevoli e più difendibili rispetto ad altre.

Il tema riguarda l’epistemologia in ambito giudiziale (c.d. epistemologia giudiziaria), ambito che ho avuto modo di approfondire nella mia tesi di laurea in giurisprudenza, in ambito penale, sul libero convincimento del giudice, molti anni fa.

Tali principi li ho poi applicati anche per la compliance privacy, spiegati in dettaglio nel mio corso e-learning sull’analisi e gestione del rischio, in cui in sostanza si parte dal presupposto che ogni regola tecnica è il frutto di un lungo processo di falsificazione in cui ad un certo punto la regola, così vagliata, entra a far parte del bagaglio conoscitivo di una data scienza e quindi di una determinata comunità scientifica di riferimento.

Queste regole formano il paradigma conoscitivo dello “stato dell’arte” (come si esprime lo stesso GDPR), dando luogo a codifiche di regole tecniche da parte di organismi internazionali o nazionali o anche privati, tutti molti autorevoli perché formati da esperti di settore, che si occupano di redigere protocolli e linee guida da seguire.

È chiaro allora che se vai ad applicare queste regole così codificate, puoi sostenere di essere stato diligente perché un tecnico del settore di riferimento le riconosce come valide e quindi da applicare.

Banner

Io stesso, nel mio corso sull’analisi e gestione del rischio, allego varie linee guida con l’effetto, per esempio, che alcuni miei clienti hanno cambiato protocolli informatici seguendo queste indicazioni.

Resta il tema complesso della scelta tra più regole tecniche tutte applicabili ad un determinato caso e tutte accettate dalla comunità scientifica di riferimento, essendo sempre possibili più soluzioni ad un problema (e questo anche in ambito informatico).

In questo caso direi che, se è stata adottata una soluzione, supportata da regole tecniche codificate o comunque accettabili da un esperto del settore, a fronte della possibile applicabilità anche di altre regole tecniche anch’esse accettate, allora siamo di fronte ad un caso di speciale difficoltà e quindi si risponde solo per colpa grave ex art. 2236 codice civile (per colpa grave si intende la mancanza di un comportamento che l’esperienza ha dimostrato poter determinare, con un alto livello di probabilità, un danno grave. Per esempio se l’MSP si dimentica di installare l’antivirus, questa negligenza è conosciuta pacificamente per determinare un alto livello di rischio di virus pericolosi).

Certo le situazioni variano e la complessità delle soluzioni non sono facili da spiegare ad un giudice, ma il CTU (Consulente Tecnico d’Ufficio) molto probabilmente evidenzierà che le regole tecniche applicate fanno parte del sapere tecnico di riferimento, quindi ragionevoli in relazione al caso di specie.

Io stesso alle aziende MSP mie clienti quando propongo di preparare l’analisi e gestione del rischio, sottolineo l’importanza di trovare una copertura tecnico-scientifica alle regole tecniche ed organizzative applicate, da indicare in sintesi nelle note della singola contromisura anche solo come rimando (si veda per esempio il complesso di regole legate alla 27001).

La soluzione appare ragionevole e convince, e tu, la trovi ragionevole?


Articoli su GDPR

Corso di formazione Online GDPR e Privacy!Il corso generale sul regolamento GDPR, disponibile dal 21 Giugno 2021!In arrivo il corso generale sul regolamento GDPRNuovo Corso GDPRTalk: Compliance Privacy e aspetti pratici: da dove cominciare?Corso Online GDPR e Privacy!Video corso Data Breach - Sai cosa gestirne uno?Gdpr - Privacy Multa del garante di 600 mila euro ad una banca a seguito di un Data Breach.Come avvicinarsi alla Privacy con il metodo SocraticoGarante contro Inps: software di controllo dei certificati medico-legaliCrowdfunding e regolamento GDPR: niente soldi senza Compliance PrivacyGestione Data Breach: non buttare via i dati compromessiRuoli Privacy: MSP quale responsabile del trattamentoMSP (Managed Service Provider) e DPA (Data Processing Agreement): Uno, Nessuno, CentomilaGDPR – PRIVACY Analisi e gestione del rischio: quale regola tecnica scegliere?Obbligo di formazione Privacy anche sulla gestione dei Data BreachAttacchi Social Engineering e MSP: la procedura di riconoscimentoLa nuova frontiera della consulenza: la PrivacyPrivacy Shield: cos’è e perché l’Ue lo annullaGDPR – PRIVACY: una multa di 80 mila euro per la mancata risposta ad una lettera all’interessatoAvvocato Dalla Riva - MSP e gestione dei Data Breach. Quale approccio? | Summit LiveCoreTech partecipa a DATA TALK 2018 - Sicurezza informa e GDPRStrumenti Tecnici per GDPR versione 1.0Perché Sygma costa così poco?Il GDPR con Sygma è più facile!Bollettino Cloud - Marzo 2018GDPR che pa..e!Dati al sicuro e GDPR compliance? Semplice…. 1Backup!GDPR e la sicurezza dei dati, nuovi obblighi

Video Premium su GDPR

Corsi Premium - GDPR