Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il 22 luglio 2017 il Sole 24 Ore ha pubblicato un’analisi di Giusella Finocchiaro e Max Bergami sulle implicazioni in materia di responsabilità sulla sicurezza in capo alle imprese introdotte dal nuovo regolamento europeo sulla privacy.

La protezione dei dati personali basata sulla valutazione del rischio e sui concetti di «Privacy by design and by default» è ora legge. È quanto prescrive il cosiddetto Gdpr (General data protection regulation) cioè il nuovo regolamento europeo in materia di protezione dei dati personali (n. 679/2016) che sarà applicato da tutti gli stati membri dell’Unione europea a partire dal 25 maggio 2018.

A differenza delle direttive, i regolamenti non richiedono provvedimenti legislativi da parte degli stati membri. Le infrazioni saranno sanzionate pesantemente, potendo raggiungere ammende fino a 20 milioni di euro o fino al 4 per cento del fatturato annuale. Si tratta di una rivoluzione di grande portata perché ribalta completamente l’approccio alla sicurezza rispetto alla normativa attuale. Il Gdpr non prescrive quali siano le misure da adottare, dettando un elenco di adempimenti; al contrario, lascia all’impresa o all’ente titolare del trattamento, la valutazione dei rischi, del valore dei dati, della loro criticità e, dunque, la scelta delle misure di sicurezza da adottare per proteggerli; queste misure andranno poi sottoposte a un continuo monitoraggio.

La definizione di dati personali della direttiva è molto ampia e include «ogni informazione relativa a un individuo che riguardi la sua vita privata, professionale o pubblica. Può essere qualunque cosa, da un nome, una foto, un indirizzo email, informazioni bancarie, i post sui social network, le informazioni mediche a un indirizzo Ip di un computer».

Si tratta di una riforma che unifica le regole degli stati europei, superando inutili norme burocratiche, oggi diverse da paese a paese, la cui applicazione ha un costo stimato in circa 2,3 miliardi di euro all’anno. Le imprese e gli altri enti saranno ritenuti direttamente responsabili per la gestione dei dati. Tra i vantaggi, ogni organizzazione avrà relazioni con un’unica autorità nazionale per la protezione dei dati, nel paese in cui ha il centro dei propri interessi, anche per le attività svolte all’estero e per i dati riguardanti i cittadini degli altri paesi; si tratta di una norma che si applica anche ai soggetti extra-europei che operano nell’Unione europea.

Sostanzialmente viene rinforzato il concetto secondo cui i proprietari dei dati sono gli individui che possono in questo modo avere maggiore trasparenza e chiedere di trasferire i propri dati o di cancellarli più agevolmente.

A prima vista questo regolamento potrebbe esser visto come un inasprimento delle norme per le imprese, mentre in realtà rappresenta una grande semplificazione e soprattutto un’opportunità per strutturare meglio le proprie attività in questo settore e costruire solide relazioni di fiducia con i propri clienti. Forse non servirebbe neppure ricordare che la rapida diffusione delle tecnologie digitali, dalla manifattura ai servizi, dall’education alla sanità, dalla comunicazione alla mobilità, pone i dati in una posizione centrale nella società contemporanea. Così come è avvenuto per la globalizzazione, anche in questo caso non si tratta più di un dibattito ideologico tra chi è favorevole o contrario, ma semplicemente un fatto da affrontare con lungimiranza, senso etico e illuminato pragmatismo.

Il principio di «Privacy by design and by default» prevede che la tutela della privacy sia incorporata nella progettazione dei processi aziendali, considerando le implicazioni per l’utente non come fatto accessorio, ma a partire dalle modalità con cui vengono concepiti i servizi o le modalità di utilizzo dei prodotti. Le organizzazioni saranno chiamate ad analizzare i rischi, decidere come affrontarli mediante processi affidabili che dovranno poi essere implementati, presidiati e monitorati.

Evidentemente ci sarà molto lavoro da fare, ma soprattutto sarà necessario immaginare un nuovo approccio interdisciplinare che riesca a coniugare competenze di business, organizzative, tecnologiche e giuridiche. Si tratta di una sfida per le imprese, per le pubbliche amministrazioni e per le organizzazioni no profit, soprattutto per quelle che non hanno per Dna una cultura avanzata della sicurezza. Infatti, questa attività non potrà coinvolgere solo chi si occupa di Ict, legale e compliance, ma anche chi gestisce il core business.

Per quanto la normativa europea possa introdurre elementi nuovi, gli operatori di grandi dimensioni sono tendenzialmente più attrezzati, mentre quelli di dimensioni medie o piccole si troveranno generalmente di fronte a nuove attività che potrebbero però consentire anche il perseguimento di un nuovo vantaggio competitivo, nella misura in cui non saranno viste come adempimenti, ma come modalità di consolidamento organizzativo e potenziamento della propria posizione sul mercato.

Servono nuovi percorsi formativi che consentano di affrontare questo tema in modo rotondo e offrano anche la possibilità di apprendere dal confronto con esperienze diverse. In questa prospettiva, sono particolarmente efficaci i percorsi anticonvenzionali e collaborativi che aiutino a rinforzare la competitività del sistema produttivo, in modo che intelligenza artificiale e intelligenza umana facciano squadra per migliorare la società contemporanea.

Recentemente la Corte di Cassazione si è trovata ad affrontare il tema della qualificazione della causale di bonifico come dato sensibile ove indichi indennizzi elargiti per malattia o invalidità, esplicitati della dicitura “assegno ex l. 210/1992”, legge che riconosce le indennità a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni e somministrazioni di sangue o, in caso di decesso, in favore dei congiunti delle vittime.

Sul punto i giudici della Suprema Corte si sono espressi a più riprese con orientamenti contrastanti. In tutti i casi esaminati la questione concerneva i rapporti tra la Regione, erogatrice dell’indennizzo e ordinatrice del bonifico, e la banca del soggetto menomato o contagiato, ricevente il bonifico per conto del suo correntista.

Nella prima pronuncia risalente al 2014 (sentenza del 19 maggio 2014, n. 10947), la Corte ha ritenuto la causale di bonifico recante i menzionati riferimenti legislativi alla stregua di un dato sensibile, evidenziando l’illecito trattamento dei dati da parte della Regione e della banca posto che nel diffondere e conservare tali dati non avevano adottato idonee tecniche di cifratura o numeri di codici non identificabili, come prescritto dall’art. 22, 6° comma del Codice in materia di protezione dei dati personali.

Nella seconda pronuncia – più articolata della precedente – (sentenza del 20 maggio 2015, n. 10280) i giudici supremi hanno ribaltato l’orientamento seguendo un iter decisionale del tutto opposto. In primo luogo, hanno negato alla causale di bonifico così compilata la natura di dato sensibile, rilevando come la legge a cui si faceva riferimento prevedeva che beneficiari dell’indennizzo potessero essere, alternativamente, i soggetti direttamente colpiti o anche i loro familiari. Dal momento che l’elargizione dell’assegno non dipendeva dalla malattia del soggetto che materialmente riceveva il bonifico, i giudici concludevano che l’informazione non fosse sufficiente a rivelare lo stato di salute del beneficiario e, dunque, non fosse dato sensibile.

In secondo luogo, secondo la Corte di Cassazione, non poteva parlarsi di “diffusione” di dati da parte della Regione alla banca giacché tale – a norma dell’art. 4, lett. m) del Codice – può considerarsi solo la comunicazione a soggetti indeterminati, mentre nel caso di specie la comunicazione avveniva solo nei confronti della banca del correntista beneficiario dell’indennizzo.

I giudici hanno poi rilevato che il riferimento all’art. 22, 6° comma del Codice Privacy era privo di fondamento posto che, come correttamente riportato, l’adozione di tecniche di cifratura risulta applicabile solo a casi specifici ove i dati provengano da elenchi o registri e la finalità sia quella di gestione ed interrogazione degli stessi. Neppure la banca poteva essere considerata onerata dell’adozione di tali misure per tre ragioni: la disposizione in oggetto si applicava ai soli soggetti pubblici; in capo ai soggetti privati sorgeva l’obbligo di cifratura solo per i dati idonei a rivelare lo stato di salute e se trattati con strumenti elettronici, condizioni entrambi assenti nel caso di specie; la comunicazione al proprio cliente di dati personali riguardanti esso stesso non costituiva trattamento.

Secondo la Cassazione, infine, la banca operava come rappresentante del correntista che riceveva il pagamento della Regione per conto di quest’ultimo: l’imputazione del pagamento dunque valeva come compiuta dal debitore (Regione) direttamente al creditore (beneficiario dell’assegno).

La Suprema Corte ha così ritenuto legittime le condotte della Regione e della banca, non ravvisando alcun trattamento illecito di dati personali.

Il tema è tornato recentemente all’attenzione della Prima sezione civile della Corte di Cassazione, la quale con due ordinanze interlocutorie (rispettivamente nn. 3455 e 3456 depositate il 9 febbraio 2017) ha demandato alle Sezioni Unite il compito di sanare il contrasto giurisprudenziale in oggetto. In tale occasione, senza aderire all’uno o all’altro orientamento, la Cassazione si è solo espressa circa la qualificazione dell’indicazione dei riferimenti normativi nella causale del bonifico come “dato sensibile”, precisando che, sebbene il pagamento possa avvenire tanto nei confronti dei congiunti quanto del soggetto contagiato o menomato, solo verso quest’ultimo il pagamento sarebbe corrisposto in rate (mentre ai congiunti sarebbe corrisposta una somma una tantum). Tale forma di pagamento sarebbe dunque idonea a identificare inequivocabilmente il soggetto destinatario del pagamento come vittima di contagio o menomazione e, per tale motivo, l’indicazione del pagamento dei ratei costituirebbe dato sensibile.

Si rimane dunque in attesa di conoscere come le Sezioni Unite risolveranno il contrasto giurisprudenziale appena descritto e, in particolare, se daranno un’interpretazione estensiva o restrittiva al concetto di dato sensibile.

La Suprema Corte ha condannato la Zecca dello Stato poiché monitorava, in violazione di alcune norme dello Statuto dei Lavoratori, la navigazione web, le posta elettronica e le telefonate dei suoi dipendenti.

Con sentenza del 19 settembre 2016, n. 18302, la Corte di Cassazione ha stabilito l’illegittimità dell’attività di memorizzazione e conservazione sul server aziendale della posta elettronica, delle telefonate e della navigazione web del lavoratore senza la preventiva procedura di autorizzazione prevista dallo Statuto dei lavoratori e dal Codice in materia di protezione dei dati personali.

I fatti alla base della decisione sono questi: in un provvedimento sanzionatorio del 2011 il Garante per la protezione dei dati personali aveva evidenziato che il servizio di navigazione in Internet predisposto dall’Istituto Poligrafico e Zecca dello Stato per i propri dipendenti non si limitava ad impedire l’accesso a siti web non inerenti l’attività lavorativa, ma memorizzava ogni accesso a qualunque sito, ed anche ogni tentativo di accesso, generando la possibilità di ricostruire la navigazione di ogni singolo lavoratore. I dati di navigazione dei dipendenti venivano inoltre conservati nel sistema per una durata variabile da sei mesi ad un anno.

Il Garante aveva inoltre rilevato l’illegittimo sistema di conservazione sul server aziendale dei messaggi di posta elettronica inviati e ricevuti dai dipendenti, che ne consentiva la visualizzazione integrale da parte degli amministratori di sistema, senza che fosse stata fornita alcuna specifica informativa in merito.

Era stato inoltre evidenziato che l’Istituto Polifgrafico attuava una modalità di controllo del traffico telefonico mediante il sistema VoIP, che consentiva la registrazione e la prolungata conservazione dei dati del traffico, anche in questo caso senza che fosse stata fornita un’adeguata informazione ai dipendenti.

Il Garante aveva così ritenuto l’attività del Poligrafico in violazione della L. n. 300 del 1970, artt. 4 ed 8, (Statuto dei Lavoratori), per la possibilità di rilevare dati sensibili dei lavoratori senza aver acquisito il previsto consenso degli interessati (e conseguentemente anche in violazione degli artt. 11, 113 e 114 del Codice sulla protezione dei dati personali). Pertanto nel provvedimento si vietava al Poligrafico la conservazione e la categorizzazione dei dati di navigazione su Internet dei dipendenti, delle mail e delle chiamate telefoniche dei lavoratori, obbligando l’istituto ad informare gli interessati delle modalità trattamento dei loro dati personali. Il Garante aveva anche richiesto che fosse resa nota ai dipendenti l’identità degli amministratori di sistema abilitati ad accedere alle banche dati aziendali e che fosse assicurata la completezza del tracciamento di tutti gli accessi effettuati dagli amministratori.

Nel 2011 il Tribunale di Roma ha respinto il ricorso dell’Istituto Poligrafico e Zecca dello Stato contro il provvedimento del Garante, chiarendo che, come stabilito dall’art. 4 dello Statuto dei lavoratori, l’utilizzazione di impianti di controllo per esigenze organizzative e produttive è consentita al datore di lavoro solo in accordo con le rappresentanze sindacali o a seguito di obblighi di legge, mentre la loro utilizzazione è vietata se attuata per vigilare sull’attività dei lavoratori. Menzionando alcune pronunce precedenti, il tribunale ha evidenziato che le esigenze di tutela aziendale non possono rendere legittima la soppressione di diritti fondamentali del dipendente, come la riservatezza.

L’Istituto Poligrafico si è dunque rivolto alla Corte di Cassazione, sostenendo che  rimangono completamente fuori dal confine operativo della norma dello Statuto dei Lavoratori i controlli che abbiano ad oggetto non l’attività lavorativa, ma altri comportamenti tenuti dal lavoratore sul posto di lavoro, eventualmente anche illeciti, che espongano ad un pericolo i beni dell’azienda o concretino fatti potenzialmente dannosi per i terzi, con conseguente responsabilità del datore di lavoro. Un pericolo tanto più rilevante in quanto l’Istituto svolge attività di interesse pubblico quali la stampa della Gazzetta Ufficiale e della Raccolta ufficiale degli atti normativi della Repubblica italiana, la produzione di documenti identificativi della persona, di sistemi di sicurezza e anticontraffazione, di monete, ecc.

La Cassazione ha tuttavia ritenuto che il rilievo pubblicistico dei compiti affidati all’Istituto Poligrafico dello Stato non giustifica la violazione della normativa vigente, che intende assicurare garanzia ai diritti costituzionalmente riconosciuti ai lavoratori. A tal proposito, il giudice ha posto l’accento sul secondo comma dell’art.4 che prevede che i sistemi di controllo che siano richiesti da esigenze organizzative o per la sicurezza del lavoro, ma dai quali deriva anche la possibilità di controllo a distanza dell’attività dei lavoratori, possono essere istallati soltanto previo accordo con le rappresentanze sindacali aziendali, oppure, in mancanza di queste, con la commissione interna. In difetto di accordo, su istanza del datore di lavoro, provvede l’Ispettorato del lavoro, dettando, ove occorra, le modalità per l’uso di tali impianti.

Rigettando quindi il ricorso e avvallando le osservazioni presenti nella decisione del Tribunale di Roma, la Cassazione ha sottolineato la necessità di operare, in materia, un contemperamento tra i diritti del datore di lavoro e, in particolare, alla libera iniziativa economica ed alla protezione dei beni aziendali, con la tutela dei diritto del lavoratore, in primo luogo alla riservatezza.

posted by admin on luglio 18, 2016

Miscellanee

(No comments)

Il Garante per la protezione dei dati personali ha pubblicato un’infografica in cui sono sintetizzate le principali regole deontologiche per un corretto trattamento dei dati personali nelle pratiche commerciali.

Le regole formano il “Codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale” che entrerà in vigore il 1° ottobre 2016. Il Codice disciplina un settore particolarmente importante per il mercato e fissa le modalità per il corretto utilizzo di banche dati e strumenti di analisi, nel rispetto della dignità e della riservatezza delle persone.

Il documento, redatto dal Garante per la protezione dei dati personali insieme a varie associazioni di categoria, imprenditoriali e dei consumatori interessate, dovrà essere adottato dalle società che offrono informazioni sull’affidabilità commerciale di imprenditori e manager, che dovranno conformare il trattamento dei dati personali alle disposizioni in esso contenute.

Il codice di deontologia è disponibile QUI.

Infografica deontologia privacy

Il Garante Privacy ha dato parere favorevole su due provvedimenti Agid relativi allo Spid, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese.

I provvedimenti riguardano l’aggiornamento dello schema di regolamento delle modalità attuative per la realizzazione del sistema e lo schema convenzionale dei rapporti fra Agid e gestori dell’identità digitale.

Le modifiche sono volte alla crescita della sicurezza informatica, della protezione dei dati, in particolare alla migliore definizione delle modalità di conservazione dei documenti relativi all’identità digitale e all’utilizzo delle credenziali dell’utente, oltre che alle procedure di sospensione e revoca dei gestori.

Sono inoltre stabiliti gli obblighi dei gestori per il trattamento dei dati, le misure e gli strumenti di sicurezza, le garanzie per la protezione dei dati nei casi di utilizzo di soggetti esterni per la fornitura dell’identità digitale.

Da una nota del Garante, si apprende che l’elaborazione degli articoli è maturata dal confronto tra Agid e l’Ufficio del Garante, con l’apporto dei risultati del tavolo tecnico.

Per ciò che riguarda ogni eventuale violazione, sono definite le modalità di comunicazione dei gestori e le procedure che Agid dovrà avviare nei loro confronti per ogni adempienza.

Da uno studio condotto da Federprivacy nell’agosto 2014 risulta che il 67% dei siti web italiani non è in regola con gli adempimenti in materia di trattamento dei dati personali degli utenti.

“Su 2.500 siti web di enti e imprese italiane, in 1.690 casi non è rispettato l’obbligo di informare l’interessato su come saranno trattati i suoi dati personali in violazione dell’art. 13 del Codice della Privacy, e in molti casi non è rispettata neppure la richiesta di consenso al trattamento dei dati di cui all’art.23. Nel 55% dei casi, a non dare idonea informativa all’interessato, sono piccole e medie imprese, mentre il 17% dei siti web che omettono di dare l’informativa svolgono attività in settori legati alla salute, e che quindi trattano dati sensibili, come ad esempio, ospedali, cliniche, laboratori di analisi, studi medici, dentisti, chirurghi, etc.

Significativo il fatto che nel 7% dei casi, a commettere tali violazioni siano aziende informatiche, come web agency o società di consulenza nel settori di internet, che spesso sviluppano esse stesse numerosi altri siti web per i loro clienti. Risulta inoltre che il 6% dei contravventori sono soggetti di condizioni economiche e dimensionali notevoli, come grandi aziende, multinazionali, enti pubblici, e anche personalità come artisti, politici ed altri vip.”

Questi i risultati della ricerca condotta dalla Federazione Italiana Privacy nell’agosto 2014. Lo studio è stato consegnato al Garante Privacy e alla Presidenza della Repubblica.

La seguente immagine – tratta dalla ricerca di Federprivacy –  mostra un dettaglio delle attività professionali relative ai siti non in regola.Schermata 2014-09-24 alle 00.59.49

OptimeOptime organizza un convegno volto ad analizzare le recenti novità e la principale prassi operativa nell’attuazione degli obblighi di pubblicazione dei dati sui siti web delle Pubbliche Amministrazioni e delle società partecipate (D. Lgs. n. 33/2013).

Gli interventi approfondiranno le disposizioni contenute nelle recenti linee guida del Garante per la protezione dei dati personali in materia di trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati. Obiettivo dell’incontro è presentare un quadro dettagliato e completo dei principali obblighi e delle relative responsabilità, mettendo a disposizione dei partecipanti strumenti operativi e indicazioni pratiche per aggiornare le proprie competenze professionali.

Il convegno si terrà a Milano il 23 e 24 settembre presso il Grand Hotel et de Milan.

La Prof. Giusella Finocchiaro interverrà nella prima giornata di lavori con una relazione su “I diritti degli interessati, gli obblighi dei soggetti preposti e la tutela giurisdizionale dei dati personali”. La relazione approfondirà il tema dei diritti degli interessati al trattamento, gli obblighi dei responsabili e degli incaricati al trattamento e il ricorso in sede giurisdizionale.

Parteciperanno in qualità di relatori, anche rappresentanti del Garante per la privacy, della Presidenza del Consiglio dei Ministri, del Dipartimento della Funzione Pubblica e della magistratura contabile e amministrativa.

Il seminario è rivolto ai dirigenti e ai funzionari delle Pubbliche Amministrazioni e degli enti partecipati, responsabili o coinvolti nell’attuazione degli obblighi di pubblicazione dei dati sui siti web.

Per i dettagli dell’evento e per le iscrizioni si rimanda al sito di Optime.

Il provvedimento del Garante per la protezione dei dati personali sulla firma grafometrica non è ancora il provvedimento generale atteso dal mercato. Questa precisazione pare necessaria considerate alcune voci infondate che si sono diffuse e, come sempre, cerchiamo di fare chiarezza.

Il provvedimento del Garante è ancora un provvedimento di natura individuale: cioè un provvedimento concernente una richiesta specifica: quella di Fineco, basata su una soluzione specifica di grafometrica di Namirial e di gestione documentale di In.TE.SA.
Il provvedimento generale del Garante privacy, ovviamente, non potrà fare riferimento a soluzioni specifiche.
L’importanza di questo provvedimento è comunque evidente.
È il primo provvedimento del Garante sulla firma grafometrica come firma elettronica avanzata per la sottoscrizione di contratti ambito bancario. Negli altri due provvedimenti del Garante del 31 gennaio scorso (Unicredit e Cariparma) la firma grafometrica era meccanismo di autenticazione. L’identificazione resta, ovviamente, de visu.
Si conferma che la “firma grafometrica” possa essere una “firma elettronica avanzata”.
Si conferma una procedura molto diffusa nel mercato e l’attenzione massima sulla sicurezza del processo. E da questo provvedimento si possono trarre molte indicazioni al riguardo.
Si conferma, infine, l’attuabilità della firma grafometrica in mobilità.

Il Garante per la protezione dei dati personali torna con un recente provvedimento ad occuparsi delle soluzioni di firma elettronica avanzata implementate nel settore bancario ed in particolare delle misure di sicurezza da adottare per un corretto trattamento dei dati, eventualmente anche di natura biometrica, la cui raccolta è strumentale alla fornitura delle soluzioni.

Il provvedimento denominato “Sistema per la sottoscrizione in forma elettronica di atti, contratti e altri documenti relativi a prodotti e servizi offerti da una banca” del 12 settembre scorso offre diversi spunti di riflessione.

Senza entrare eccessivamente nel merito della descrizione delle caratteristiche tecnologiche della soluzione adottata nel caso sottoposto all’attenzione del Garante, occorre evidenziare in primo luogo che il Garante, riferendosi espressamente alle Regole tecniche in materia di firme elettroniche, pone l’accento sulla strumentalità dei dati personali, anche di natura biometrica, ai fini della generazione della firma elettronica avanzata e conseguentemente sul rispetto del principio di necessità del trattamento di cui al combinato disposto degli artt. 3 ed 11 del Codice.

Il Garante, inoltre, pur rilevando la necessità di richiedere ai firmatari il consenso previa adeguata e completa informativa, evidenzia come il trattamento dei dati strumentale alla fornitura di soluzioni di firma elettronica avanzata può costituire un efficace strumento probatorio, a tutela dell’interessato, in caso di eventuali contenziosi legati al disconoscimento della sottoscrizione apposta. Si legge, infatti, nel provvedimento: “(…) l’utilizzo della soluzione proposta potrebbe efficacemente contribuire, attraverso la garanzia di autenticità, non ripudio e integrità dei documenti sottoscritti elettronicamente, a conferire maggiore certezza nei rapporti giuridici intercorrenti con gli utenti”.

Ed ancora, dopo aver richiamato espressamente gli articoli di legge che impongono la forma scritta per i contratti bancari e quindi ribadita, sia pure implicitamente, l’idoneità della firma elettronica avanzata a soddisfare il requisito della forma scritta ad substantiam, compie un’importante affermazione di politica economica del diritto, sostenendo che: la firma cosiddetta grafometrica “asseconda legittime esigenze organizzative della società”.

Infine, il provvedimento richiama l’attenzione sulle necessarie misure di sicurezza da adottare al fine di ridurre, fra l’altro, i rischi di installazione abusiva di software o di modificazione della configurazione dei dispositivi adottati, nonché sulla necessità di adottare policy per la gestione degli incidenti di sicurezza e sulla necessità, nel caso in cui il titolare del trattamento si avvalga di soggetti esterni per l’adozione delle misure di sicurezza, di ottenere dall’installatore una descrizione scritta degli interventi effettuati che ne attesti la conformità alla normativa vigente.