I dati personali che riguardano il GDPR sono tutti quelli che vengono raccolti solitamente per gestire personale, clienti, fornitori, ecc

Dati personali: I dati che permettono l'identificazione diretta - come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. - e i dati che permettono l'identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l'indirizzo IP, il numero di targa);

Dati sensibili: Quelli che rivelano l'origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute, alla vita o all'orientamento sessuale.
Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici e i dati biometrici.

Riferimenti Normativi:
Articolo 4, punto 1

Il titolare del trattamento deve esplicitare e comunicare chiaramente la finalità del trattamento prima che il trattamento dei dati abbia inizio, in modo da consentire all'interessato di fornire un consenso informato.
La comunicazione deve essere effettuata tramite l’informativa che deve essere portata a conoscenza dell'interessato e messa a disposizione a fini di ispezione da parte delle autorità di controllo.

I dati devono essere raccolti per finalità determinate, esplicite e legittime (Articolo 5) e quindi trattati secondo modalità compatibili con tale finalità. In assenza della precisazione della finalità, il trattamento è illegittimo.

Riferimenti Normativi:
Articolo 5

La normativa attribuisce specifici diritti all'interessato, il quale, per l'esercizio di tali diritti, può rivolgersi direttamente al titolare del trattamento. L'interessato può esercitare i suoi diritti anche in un momento successivo a quello in cui ha prestato il consenso, potendo così revocare un consenso già prestato.

I diritti esercitabili dall'interessato sono i seguenti:
- revocare il consenso in qualsiasi momento;
- esercitare l'opposizione al trattamento in tutto o in parte;
- ottenere la cancellazione dei dati in possesso del titolare;
- ottenere l'aggiornamento o la rettifica dei dati conferiti;
- chiedere ed ottenere in forma intellegibile i dati in possesso del titolare (diritto di accesso);
- chiedere ed ottenere trasformazione in forma anonima dei dati;
- chiedere ed ottenere il blocco o la limitazione dei dati trattati in violazione di legge e quelli dei quali non è più necessaria la conservazione in relazione agli scopi del trattamento.

Riferimenti Normativi:
Capo III - Diritti dell'interessato (Artt. 12-23)

Il regolamento europeo prevede che, in base alla finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento, le informazioni richieste dalle norme (art. 12). Ciò avviene tramite l'informativa che è dovuta ogni qual volta vi sia un trattamento di dati.
In base al nuovo Regolamento Europeo, l'informativa deve avere il seguente contenuto minimo (articoli 13 e 14):
- categorie di dati trattati e finalità del trattamento (non le modalità del trattamento, ma quali dati vengono trattati divisi per categorie, a quale fine, per quanto tempo sono trattati, se i dati verranno trasferiti all'estero e, in questo caso, attraverso quali strumenti);
- la base giuridica del trattamento, quindi se si tratta di trattamento basato su consenso o giustificato da leggi, legittimi interessi (in questo caso specificando quale è il legittimo interesse), ecc.;
- natura obbligatoria o facoltativa del conferimento dei dati e le conseguenze di tale rifiuto (specificando che è possibile rifiutare il consenso a singoli trattamenti quali quelli a fini di marketing diretto);
- se il titolare ha intenzione di utilizzare i dati per una finalità diversa da quella per la quale sono stati raccolti;
- soggetti destinatari (anche per categorie) ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi (l'indicazione di soggetti terzi non può essere generica);
- se il titolare ha intenzione di trasferire i dati in paesi extra UE, nel qual caso se esiste o meno una decisione di adeguatezza della Commissione UE (ovvero se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all'interno del paese terzo, o l'organizzazione internazionale in questione garantiscono un livello di protezione adeguato, per cui il trasferimento non necessita di autorizzazioni specifiche);
- il periodo di conservazione dei dati oppure l'indicazione dei criteri per determinarlo;
- i diritti dell’interessato (diritto di accesso ai dati personali, di ottenere la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano, di opporsi al trattamento, di revocare il consenso, diritto di presentare reclamo all'autorità di controllo, eventuale diritto alla portabilità);
- dati identificativi (nome, denominazione o ragione sociale, domicilio o sede) del titolare del trattamento e, se designato, del responsabile per la protezione dei dati (DPO), quindi un recapito al quale gli interessati potranno rivolgersi per esercitare i propri diritti;
- se il trattamento comporta processi decisionali automatizzati (come la profilazione) deve essere specificato indicando anche la logica di tali processi decisionali e le conseguenze previste per l'interessato.

Riferimenti Normativi:
Articoli 12, 13 e 14

Se un sito web non permette di effettuare alcuna registrazione degli utenti, e non tratta dati degli utenti, non occorre l'informativa privacy, anche se occorre tenere presente che i siti web in genere acquisiscono comunque informazioni (anche dati personali) tramite i server sui quali sono ospitati.
Invece, l'informativa è sempre dovuta ogni qual volta vi sia una raccolta e trattamento dei dati (es. indirizzi IP, mail) degli utenti (es. compilazione moduli), per cui anche nel caso in cui il sito utilizzi cookie tramite i quali raccoglie dati degli utenti. E' altresì dovuta anche quando il consenso dell'interessato non è richiesto, oppure quando l'interessato è tenuto obbligatoriamente per legge a fornire i dati.

Se il sito permette la registrazione degli utenti, ma i dati vengono usati solo per fini del sito medesimo (es. mailing list) e non per l'invio di proposte commerciali ecc.., occorre solo l'informativa privacy (da linkare al modulo di registrazione per consentirne la consultazione), ma non occorre la raccolta del consenso.

Invece, se il sito permette la registrazione degli utenti e raccoglie dati anche a fini promozionali e pubblicitari, compreso la trasmissione a terzi, occorre l'informativa privacy e il consenso deve essere espresso con accettazione separata dell'informativa.

L’articolo 4, prevede diverse definizioni di soggetti che a vario titolo si occupano del trattamento dei dati. In particolare per alcune figure sono previsti specifici obblighi come per il titolare e il responsabile del trattamento. Risulta pertanto utile predisporre delle lettere di nomina per i soggetti coinvolti nel trattamento dati quali: Persone autorizzate, Titolare del trattamento, Responsabile del trattamento, Medico competente, Amministratore di Sistema, Custode delle password, eventuale responsabile della protezione dei dati.

Riferimenti Normativi:
Articolo 4

Il DPO (Data Protection Officer) è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati ed ha specifici ruoli e compiti come stabilito negli articoli 38 e 39.
In base all’art. 37, viene designato dal titolare e dal responsabile del trattamento ogniqualvolta:
1. il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell'esercizio delle loro funzioni);
2. i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
3. il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.

Riferimenti Normativi:
Articoli 37, 38, 39

L'articolo 35 del regolamento europeo regolamenta la DPIA (data protection impact assessment). La valutazione di impatto, deve essere redatta solo per particolari trattamenti, e cioè quando il trattamento prevede l'uso di nuove tecnologie e può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. In particolare l'articolo 35 evidenzia la necessità della valutazione di impatto nei seguenti casi:

- il trattamento determina una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici;
- il trattamento riguarda dati sensibili o giudiziari su larga scala;
- sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

Le Autorità di controllo hanno un ruolo importante, in quanto possono stabilire, con un elenco pubblico, quali tipologie di trattamenti richiedono comunque la valutazione di impatto. Allo stesso modo, possono redigere un elenco delle tipologie di trattamenti per i quali la valutazione non è necessaria.

Al fine di agevolare il Titolare, l’Article 29 Working Party (oggi European Data Protection Board) ha emanato delle Linee Guida (WP 248) contenenti nove criteri in presenza dei quali si può desumere che il trattamento presenti “un rischio elevato per i diritti e le libertà delle persone fisiche”.  Al fine di fornire un insieme più concreto di trattamenti di dati personali, si devono considerare i seguenti nove criteri:
1)valutazione o assegnazione di un punteggio, inclusiva di profilazione e previsione, in particolare in considerazione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l'affidabilità o il comportamento, l'ubicazione o gli spostamenti dell'interessato (cfr. Considerando 71 e 91 del GDPR);
2)processo decisionale automatizzato che ha effetto giuridico o incide in modo analogo significativamente, compresa la profilazione;
3)monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, ivi inclusi i dati raccolti tramite reti o "la sorveglianza sistematica su larga scala di una zona accessibile al pubblico" (cfr. articolo 35, comma 3, lettera c del GDPR);
4)dati sensibili o dati aventi carattere altamente personale;
5) trattamento di dati su larga scala: nella determinazione del concetto di larga scala il WP-29 raccomanda di considerare i seguenti elementi: a. il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; b. il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; c. la durata, ovvero la persistenza, dell'attività di trattamento; d. la portata geografica dell'attività di trattamento;
6)creazione di corrispondenze o combinazione di insiemi di dati;
7)dati relativi a interessati vulnerabili: (es. minori, dipendenti nonché i segmenti più vulnerabili della popolazione che richiedono una protezione speciale);
8)uso innovativo o applicazione di nuove soluzioni tecnologiche od organizzative;
9)quando il trattamento in sé "impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto" (cfr. articolo 22 e considerando 91 del GDPR).

In particolare, il WP ha delineato la seguente regola di condotta: in presenza di un trattamento che soddisfi almeno due dei nove criteri la DPIA è necessaria.

Riferimenti Normativi:
Articolo 35

Il titolare del trattamento consulta l'autorità di controllo prima di procedere al trattamento, qualora la valutazione d’impatto sulla protezione dei dati presenti un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio (art. 36)

L’articolo 33 stabilisce l’obbligo di effettuare una comunicazione o notifica all'autorità di controllo qualora si verifichi una violazione dei dati personali (data breach).

Riferimenti Normativi:
Articoli 33 e 36

In caso di violazione dei dati il responsabile del trattamento, se designato, deve avvertire il titolare dell'avvenuta violazione dei dati. Quest'ultimo dovrà, a quel punto, notificare l'evento all'autorità di controllo.
Il titolare deve documentare le violazioni di dati personali subite, tramite un apposito registro delle violazioni, nonché le conseguenze e i provvedimenti adottati, anche se le violazioni non sono state comunicate alle autorità di controllo.
L'art. 33 del GDPR prevede l'obbligo di notificare alle autorità di controllo la violazione dei dati, tranne che nel caso in cui "sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche" (es. perdita di una chiavetta usb con dati cifrati).
La notifica deve avvenire "senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza" il titolare. Qualora la notifica non avvenga nelle 72 ore, il titolare dovrà indicare i motivi del ritardo.
Il titolare dovrebbe anche documentare nel registro le ragioni delle decisioni assunte, nei casi in cui non ha proceduto alla notifica, ha ritardato la notifica e nei casi in cui non ha comunicato la violazione agli interessati.

Riferimenti Normativi:
Articoli 4, punto 12 e 33

L'art. 32 stabilisce che il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio mentre nell'articolo 28, si chiede di fornire una descrizione generale delle misure di sicurezza adottate di cui all'articolo 32.

Riferimenti Normativi:
Articoli 28, 32, 33, 34

Il trasferimento di dati personali verso un paese terzo è ammesso se viene garantito un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche.
Se il trattamento dei dati, avviene anche grazie a software e applicativi in cloud o Saas (software as a service) i cui dati sono archiviati presso server remoti, bisogna verificare le condizioni di trasferimento dati presso un paese extra UE.

Riferimenti Normativi:
Articoli 44, 45 e 46

Il titolare del trattamento è la persona fisica o giuridica che, singolarmente o insieme ad altri, stabilisce le finalità e le modalità del trattamento dei dati personali.
Nel caso di trattamento in violazione delle norme del regolamento europeo, il titolare risponde per il danno cagionato all'interessato, secondo quanto previsto dall'articolo 82 e dal Considerando 146. Il titolare risponde in caso di violazione delle disposizioni del GDPR, ma anche delle norme attuative, degli atti delegati, delle norme esecutive e di tutte le altre disposizioni degli Stati membri.

Riferimenti Normativi:
Articolo 4, n. 7, e articoli 24 e 82

Il responsabile del trattamento è la persona fisica o giuridica che tratta i dati personali solo per conto del titolare del trattamento.
I responsabili del trattamento devono presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato.

Riferimenti Normativi:
Articolo 4, n. 8, e articolo 28

Incaricato, o autorizzato, è il soggetto persona fisica che effettua materialmente le operazioni di trattamento sui dati personali. Il regolamento europeo non prevede espressamente la figura dell'incaricato, ma non ne esclude la nomina, facendo riferimento a persone autorizzate al trattamento dei dati sotto l'autorità diretta del titolare o del responsabile (art. 4, n. 10).

Riferimenti Normativi:
Articolo 4, punto 10, e articolo 29

Il nuovo Regolamento Europeo prevede che il soggetto che svolge le attività di trattamento dei dati per conto del titolare, come avviene di regola nell’ambito della fornitura di un servizio (es. elaborazione buste paghe, hosting provider del sito web aziendale, applicazioni in cloud - saas, manutenzioni di software), sia considerato responsabile del trattamento.

In questi casi, non è prevista la formalizzazione di una nomina, ma piuttosto la stipula di un contratto o di clausole contrattuali (art. 28) in cui sia disciplinato il trattamento dei dati personali svolto dal responsabile esterno per conto del titolare, inclusi gli obblighi posti in capo al medesimo responsabile, i vincoli e le responsabilità che dovranno essere coerenti e circoscritti alle sole attività di stretta competenza.

Qualora il fornitore svolga per il titolare un'attività di trattamento dati in modo occasionale, il soggetto in questione non assolve le funzioni di responsabile del trattamento.

L'articolo 30 stabilisce la tenuta di due distinti registri:
- il registro ad uso del Titolare del trattamento (colui cioè che determina le finalità e i mezzi con cui sono trattati i dati personali);
- il registro ad uso del Responsabile del trattamento (colui cioè che tratta i dati per conto del Titolare).

L'onere della tenuta del registro è a carico del titolare e, se nominato, del responsabile del trattamento. La tenuta del registro è utile per una completa ricognizione e valutazione dei trattamenti svolti e quindi finalizzata anche all'analisi del rischio e ad una corretta pianificazione dei trattamenti. Per cui le autorità invitano tutti i titolari a dotarsene, eventualmente inserendo nel registro ogni elemento utile, anche oltre a quelli minimi previsti dalle norme.

Il registro deve essere tenuto in forma scritta, anche in formato elettronico, e va esibito all'autorità di controllo (Garante) in caso di verifiche.
Sono obbligatori per imprese con oltre 250 dipendenti ma la loro tenuta è considerata indice di una corretta gestione dei trattamenti, a prescindere dalle dimensioni dell’organizzazione. Nel caso delle imprese di minori dimensioni l’obbligo del registro scatta comunque se le operazioni mettano a rischio i dati degli interessati, vengano trattati dati sensibili (malattie per es.) o giudiziari oppure il trattamento non sia occasionale.

Il titolare del trattamento è il soggetto che determina le finalità e i mezzi con cui sono trattati i dati personali, pertanto per dimostrare il rispetto degli obblighi che gli impone l’articolo 24 del Regolamento, dovrà tenere il registro dei trattamenti svolti, come previsto dall’articolo 30.

Il registro tenuto dal titolare del trattamento e, ove applicabile, dal suo rappresentante, deve contenere le seguenti informazioni:
a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati al trattamento e delle categorie di dati personali trattati;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi, se ci sono, i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

Riferimenti Normativi:
Articoli 24 e 30

Il responsabile del trattamento è il soggetto che elabora i dati personali per conto del titolare del trattamento, pertanto dovrà mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che gli impone l’articolo 28 del Regolamento, e dovrà tenere il registro dei trattamenti svolti, come previsto dall’articolo 30.
Il registro tenuto dal responsabile del trattamento e, ove applicabile, dal suo rappresentante, deve contenere le seguenti informazioni:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.

Riferimenti Normativi:
Articoli 28 e 30

Per mitigare rischi alla sicurezza dei dati, è necessario comunicare ai dipendenti le buone pratiche da adottare e gli obblighi previsti dalle disposizioni in materia di protezione dati personali e di misure minime di sicurezza, ai sensi del GDPR 2016/679.
I dipendenti devono essere istruiti riguarda l’uso di sistemi informatici (PC e Notebook, gestione password, memorie di massa, posta elettronica, Intranet aziendale e Internet) e la presenza di sistemi di video-sorveglianza.

I soggetti autorizzati a trattare dati per conto dell'azienda, incluso i responsabili del trattamento, devono essere istruiti dal titolare del trattamento (articoli 29 e 32).

Riferimenti Normativi:
Articoli 29 e 32

L’art. 33 del Regolamento Europeo impone al titolare del trattamento di notificare all’autorità di controllo la violazione di dati personali (data breach) entro 72 ore dal momento in cui ne viene a conoscenza.

L’obbligo di notifica scatta se la violazione, ragionevolmente, comporta un rischio per i diritti e le libertà delle persone fisiche, qualora, poi, il rischio fosse elevato, allora, oltre alla notifica, il titolare è tenuto a darne comunicazione all’interessato.

La notifica deve avere il contenuto previsto dall'art. 33 del GDPR:
- descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
- comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

Riferimenti Normativi:
Articolo 33

L'art. 32 stabilisce che il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio mentre nell'articolo 28, si chiede di fornire una descrizione generale delle misure di sicurezza adottate di cui all'articolo 32.

Riferimenti Normativi:
Articoli 28 e 32

L'articolo 24 stabilisce che il titolare deve tenere conto dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche.
In particolare deve adottare in base ai rischi evidenziati, delle misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare, che il trattamento è effettuato in modo conforme al Regolamento Europeo (art. 32)

L'articolo 25, introduce il principio di privacy by design e privacy by default, un approccio concettuale innovativo che impone alle aziende l'obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali.

Riferimenti Normativi:
Articoli 24, 25 e 32

L'art. 32 stabilisce che il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio mentre nell'articolo 28, si chiede di fornire una descrizione generale delle misure di sicurezza adottate di cui all'articolo 32.

Riferimenti Normativi:
Articoli 28 e 32

L'art. 4 del regolamento europeo definisce la violazione dei dati personali (data breach) come "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati".
Quindi, un data breach non è solo un evento doloso come un attacco informatico, ma può essere anche un evento accidentale come un accesso abusivo, un incidente (es. una calamità naturale o un incendio), la semplice perdita di una chiavetta USB o di documenti con dati personali (furto o smarrimento di un notebook di un dipendente).

L'art. 32 stabilisce che il titolare del trattamento e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio mentre nell'articolo 28, si chiede di fornire una descrizione generale delle misure di sicurezza adottate di cui all'articolo 32.

Riferimenti Normativi:
Articoli 4 punto 12, 28 e 32

Il penetration test è un processo operativo di valutazione della sicurezza di un sistema o di una rete che simula l'attacco di un utente malintenzionato e permette di identificare le potenziali criticità nella sicurezza dell'infrastruttura IT dell'azienda, sia internamente che esternamente.
Il test di vulnerabilità è il processo operativo di valutazione della sicurezza di un software o applicativo utilizzato dall’ azienda.
L'Analisi delle vulnerabilità ha lo scopo di quantificare i livelli di rischio e indicare le azioni correttive necessarie per mitigare problemi sulla sicurezza e violazione dei dati.

L’amministratore di sistema (sistemista di reti) non è espressamente previsto nel GDPR ma viene richiamato dal garante privacy.
L'amministratore di sistema o, tecnico sistemista di rete, è una figura professionale che ha competenze hardware e software sulle architetture informatiche e l’utilizzo e la condivisione di dati attraverso le reti di comunicazione.
- Ha il compito di mettere in atto misure tecniche per garantire un livello di sicurezza adeguato al rischio (art. 32)
- Nell'ambito della sua attività quotidiana, è in grado di rendersi conto di un eventuale violazione o perdita dei dati, accidentale od intenzionale che sia.

Si occupa di ogni tipo di rete informatica, comprese quelle a cui non si accede via web, come le reti intranet e implementa i sistemi di sicurezza del networking nonché definisce le procedure di autenticazione alla rete e di autorizzazione all’accesso ai dati da parte gli utenti, curando interventi di conservazione dei dati attraverso specifiche soluzioni di “backup” e progettando le attività di supporto al “disaster recovery”.