IL PACCHETTO PRIVACY SU MISURA PER TE
Ti offriamo un pacchetto chiavi in mano per l’attuazione ed il mantenimento di un sistema per la conformità della tua struttura aziendale al GDPR Regolamento Europeo 2016/679. Contatta lo Staff, facciamo tutto noi!

Consulenza gratuita
Richiedi la nostra consulenza gratuita, il nostro staff organizzerà una riunione preliminare per individuare aree critiche e stabilire gli obiettivi

Analisi e mappatura
Una prima analisi per individuare i dati ed i rischi dell'attività, con valutazione dell'impatto sulla privacy, analisi delle lacune e problematiche

Obiettivi e Roadmap
Si provvede a definire le competenze ed i ruoli con la nomina delle figure preposte, definizione delle priorità ed azioni da intraprendere per raggiungere la conformità

Attuazione GDPR
Operatività incarichi, predisposizione documentazione, registro trattamenti, check-up sicurezza, consulenza e formazione dedicata in azienda
GDPR PRIVACY MAGAZINE
TUTTE LE NEWS E GLI AGGIORNAMENTI SULLA PRIVACY IN ITALIA
Ransomware, due aziende su tre sono colpite dal malware che prende i dati in ostaggio. Colpita anche Coca-Cola con richiesta di maxi-riscatto
Flash NewsMercoledì, 27 Aprile 2022 16:55 Il 66% delle aziende sono state colpite da un attacco ransomware nell’ultimo anno. Lo evidenzia il nuovo rapporto “State of Ransomware 2022” realizzato a cura di Sophos. Quintuplicato rispetto allo scorso anno il riscatto medio pagato per recuperare i dati, che si attesta sui 812.360 dollari, e il 46% delle aziende i cui dati sono stati criptati a seguito dell’attacco ha deciso di pagare il riscatto. Il Rapporto di Sophos, leader globale nella sicurezza informatica, analizza l’impatto che il ransomware ha avuto su 5.600 aziende in 31 paesi nel mondo, Italia compresa. Nel nostro Paese, il 61% del campione di aziende prese in esame nel rapporto è stato colpito da ransomware nell’ultimo anno mentre il 27% si aspetta di essere colpito in futuro. Delle aziende italiane colpite da ransomware, il 63% ha subìto la crittografia dei file, mentre il 26% è riuscito a bloccare l’attacco prima che i dati venissero criptati. Il 43% ha pagato il riscatto e ha recuperato i propri dati, mentre il 78% dichiara di essere riuscito a recuperare i dati grazie al proprio backup. Tra le aziende italiane che hanno pagato il riscatto, il 24% ha recuperato circa la metà dei propri dati e solo il 3% è riuscito a recuperare la totalità dei dati sottratti dai cybercriminali. L’entità del riscatto pagato si attesta nella maggior parte dei casi (37% del campione) tra i 100.000 e i 249.999 dollari. Il 55% delle aziende italiane colpite ha dichiarato che l’impatto sulla propria operatività di business è stato molto alto e che il recovery time è stato fino a 1 settimana per il 36%, fino a un mese per il 34%, mentre solo l’11% del campione ha ripristinato la normalità in meno di un giorno. Per quanto riguarda l’assicurazione dai rischi cyber, il 47% del campione dichiara che la propria polizza copre anche i danni causati da un attacco ransomware, il 7% pur avendo un’assicurazione cyber non ha copertura per questa tipologia di attacco e il 5% del campione dichiara che la propria azienda non ha un’assicurazione contro i rischi cyber. Nello scenario internazionale, proprio nelle ultime ore è stata data notizia che il gruppo ransomware Stormo us ha annunciato di aver colpito la multinazionale Coca-Cola Company, e di aver esfiltrato oltre 160 GB di dati. Il riscatto richiesto all’azienda sarebbe di oltre 64 milioni di dollari statunitensi, ovvero 1,6467000 Bitcoin. A quanto pare, il gruppo di criminali informatici avrebbe anche lanciato prima un sondaggio sul proprio gruppo Telegram chiedendo agli utenti di scegliere il prossimo bersaglio, e la Coca-Cola Company avrebbe “vinto” con oltre il 70% di preferenze. Consapevole degli enormi rischi che comporta per le imprese che vengono colpite da questo pericoloso tipo di malware, il Gruppo di Lavoro per la sicurezza delle informazioni che opera in seno a Federprivacy nelle scorse settimane ha realizzato una specifica infografica a scopo informativo e divulgativo, che è liberamente scaricabile dal sito dell’associazione, e che ha già registrato oltre 1.000 download.
GDPR, bello e impossibile
Il punto di vistaMercoledì, 27 Aprile 2022 10:16 Quasi impossibile rispettare il GDPR al 100%, ma le imprese devono cercare in buona fede la strada migliore per rispettare la privacy. Così Secondo Sabbioni, Data Protection Officer dal 2012 del Parlamento europeo, per il quale la collaborazione tra istituzioni e operatori economici è la chiave del successo delle norme sulla protezione dei dati, che non mancano, però, di chiaroscuri. A un quarto di secolo dall’inizio dell’era italiana della privacy (l’8 maggio 1997 entrava in vigore il grosso della legge 675/1996, la prima legge sulla riservatezza) è tempo di fare il punto della situazione. Ma in una prospettiva europea. Per fare ciò ItaliaOggi ha incontrato Sabbioni, che è un osservatore privilegiato, avendo visto nascere il GDPR (General data protection regulation)nelle stanze di Strasburgo. Con il GDPR (operativo dal 2018), infatti, la disciplina della protezione dei dati è tendenzialmente unica in tutta l’Ue e non si può stimare il futuro della applicazione della privacy se non abbracciando tutto il Vecchio Continente. A Sabbioni chiediamo, dunque, un punto di vista sull’attualità e sui possibili sviluppi del GDPR. Domanda: Il GDPR è riuscito a unire l’Europa nella protezione dei dati? Risposta: Penso solo in parte. Ricordo che nelle fasi di stesura del Gdpr una delle principali critiche sosteneva che era una direttiva camuffata ed, in effetti. ci sono materie in cui il singolo stato può fare la differenza. Ci sono disposizioni del Regolamento che rinviano alla legislazione dei singoli stati. Probabilmente l’esempio più clamoroso riguarda l’età per l’espressione del consenso da parte dei minori. In effetti fin da quando è entrato in vigore, è stato chiaro che il GDPR lascia molti spazi di manovra alle autonomie nazionali. Domanda: Un quadro con molte ombre, si potrebbe dire. Risposta: Si, ma anche con molte cose positive. La cultura della privacy è cresciuta moltissimo dopo il GDPR. La privacy è diventata più visibile. Le imprese se ne preoccupano di più, magari anche solo per gestire costi indotti. Il GDPR ha, poi, avuto il grosso merito di essere il grimaldello per cominciare a obbligare le big five o GAFAM (Google, Amazon, Facebook, Apple, e Microsoft), a rispettare la privacy dei cittadini europei e a pagare il giusto contributo fiscale sui lauti guadagni che derivano dal suo trattamento. Il GDPR ha squarciato un velo e scoperchiato questo settore. Certo ci sono, ovviamente, situazioni in cui manca la consapevolezza, ma coltivo la speranza che il diritto alla privacy possa in un futuro non lontano essere trattato alla pari del diritto alla salute o alla sicurezza. (Nella foto: Secondo Sabbioni, Data Protection Officer del Parlamento Europeo) Domanda: In generale, però, si continua ad andare in ordine sparso? Risposta: È un dato oggettivo che in questi quattro anni di operatività è emerso che l’applicazione del GDPR non è uniforme in tutta l’Unione europea. Ci sono alcuni stati in cui ormai la disciplina del GDPR è quasi completamente integrata, come la Germania, e altri in cui la sensibilità è ai minimi termini. La cultura della protezione dei dati è ancora molto diversa nei paesi dell’Unione. Domanda: Ma allora cosa bisogna pensare di questo GDPR? Risposta: Il GDPR è stata un’ottima cosa. Avere un regolamento direttamente applicabile ha avuto un effetto trainante della privacy. A chi dice che ormai è vecchio posso rispondere che è ancora utile e, probabilmente, il suo più grosso merito è stato di avere codificato un approccio basato sul rischio, così da permettere agli operatori economici di scriversi la regola adeguata al proprio rischio. Domanda: Eppure non manca chi critica il GDPR proprio perché lascia spazio a incertezze nell’interpretazione e nell’attuazione. È ancora uno strumento utile? Risposta: Il GDPR ha successo ed è ancora utile se tutti fanno il loro dovere. Ci vogliono Garanti che danno risposte concrete, elaborano modelli, formulari e template. Ci vogliono, dall’altro lato, operatori economici che si dotano di esperti preparati e in grado di rapportarsi con le autorità. A questo proposito, ritengo che responsabilizzare gli operatori affinché elaborino regole per la propria organizzazione nel rispetto dei principi del GDPR è lungimirante, perché in un testo rigido non si può tenere conto degli sviluppi della tecnologia e dell’intelligenza artificiale. È il singolo operatore che deve interrogarsi, fare un esame di coscienza ed assumere le scelte di tutela degli interessati. Domanda: Imprese ed operatori avrebbero bisogno di essere un po’ più aiutati. Risposta: Sono d’accordo che ci vorrebbero linee guida delle autorità garanti, che non devono limitarsi a mere parafrasi delle norme di principio, ma, al contrario, diano risposte concrete e rapide agli operatori. Ma sono anche convinto che bisogna avere pazienza e che bisogna ragionare su tempi lunghi. Nel frattempo, gli operatori devono agire con buona fede, anche perché è quasi impossibile osservare al 100% l’impianto normativo, soprattutto dopo la sentenza della Corte di Giustizia europea “Schrems II”. Residua sempre un margine di rischio giuridico. L’importante è dimostrare come si è arrivati a un certo risultato e giustificare tutti i passaggi. (Intervista di Antonio Ciccia Messina, fonte Italia Oggi)
Accesso alla valutazione dei rischi ed al Registro dei trattamenti
Primo PianoGiovedì, 17 Marzo 2022 11:52 L’accesso alla documentazione, previsto dal Gdpr, sia da parte di soggetti autorizzati che di esterni, è un tema raramente approfondito; pertanto, si desidera condividere alcune riflessioni riguardanti specificamente il Registro dei trattamenti e la Valutazione dei rischi. (Nella foto: l’Ing. Monica Perego, docente del Corso di alta formazione ‘Il sistema di gestione della privacy e le attività di audit‘) Il Registro dei trattamenti – Ad avviso dell’autrice, il Registro dei trattamenti (come Titolare) dovrebbe essere un documento condiviso tra gli autorizzati all’interno dell’organizzazione, a meno di casi particolari. Rendendo tali soggetti a conoscenza dei contenuti del documento e permettendo loro di consultarlo, si aumenta la consapevolezza degli stessi, riducendo la probabilità di errori. Se il Registro è ben strutturato, gli autorizzati hanno quindi accesso a varie informazioni: durata del trattamento, modalità di cancellazione/distruzione dei dati, ragioni sociali dei Responsabili designati, ecc. Possono quindi anche segnalare eventuali errori o modifiche (ad esempio la variazione di un Responsabile), in modo da far sì che il documento sia costantemente aggiornato.Ovviamente l’accesso deve avvenire per la versione in vigore, opportunamente datata, mentre le versioni storicizzate devono essere gestite ad accesso limitato, di norma sotto la Responsabilità del Privacy Officer. Quest’ultimo dovrà informare gli Autorizzati dell’emissione di una nuova versione del documento rendendola disponibile, ad esempio sulla intranet aziendale. In ogni caso i contenuti del Registro non devono essere comunicati all’esterno dell’Organizzazione. La Valutazione dei rischi – La Valutazione dei rischi dovrebbe essere un documento con accesso molto più limitato rispetto al Registro. Infatti, poiché illustra le misure di mitigazione in essere e quelle pianificate nel breve/medio termine, di fatto descrive, indirettamente, quali misure mancano, quali sono lacunose o sono ancora in fase di pianificazione. Non va inoltre dimenticato che il documento di norma contiene anche le misure tecniche e quelle organizzative applicate all’interno dell’organizzazione. Un esempio po’ aiutare a comprendere: Per il trattamento X effettuato tramite un software è documentata, come misura di mitigazione, l’accesso regolamentato da password in possesso solo degli autorizzati che ricoprono il ruolo ALFA e BETA. Sulla base di tale informazione, un malintenzionato potrebbe: – dedurre che i dati presenti nel software non sono criptati e questo evidenzia una debolezza– contattare gli autorizzati che ricoprono il ruolo ALFA e BETA attivando tecniche di social engineering per carpire la password o per ricattarli al fine di poter accedere ai dati Inoltre, il malintenzionato, analizzando le minacce descritte dalla Valutazione dei rischi, potrebbe dedurre che alcune non sono state “considerate” o meglio “documentate”. Ciò peraltro non implica necessariamente che non siano state approntate delle misure in relazione a tali minacce. Alla luce di quanto sopra, la Valutazione di rischi dovrebbe essere un documento con un accesso molto limitato, e dovrebbero essere poste in atto ulteriori misure per rendere difficoltosa la consultazione, come ad esempio: – archiviazione del documento in un’area non accessibile dall’esterno– criptazione del documento– suddivisione del documento in più parti, in modo che l’accesso ad una sola di esse non ne permetta la comprensione La problematica assume ancora più rilevanza nel caso in cui l’Organizzazione agisca come Responsabile del trattamento e quindi le misure che pone in capo debbano essere poste a tutela del Titolare. Quest’ultimo potrebbe indicare, nell’ambito dell’atto di designazione, anche il livello di accesso e di protezione della Valutazione dei rischi per la parte dei dati che deve trattare il Responsabile. Considerazioni simili a quelle effettuate per la Valutazione dei rischi possono essere svolte per quanto riguarda il MOP – Modello Organizzativo Privacy che, per quanto non contenga, di norma, elementi vulnerabili come nel caso della Valutazione dei rischi, è opportuno resti riservato. Il caso della Pubblica amministrazione – Per le Pubbliche amministrazioni vi è anche l’esigenza di bilanciare le informazioni contenute nel Registro dei trattamenti e nella Valutazione dei rischi, a fronte delle seguenti normative: – Decreto legislativo 14 marzo 2013, n. 33 – amministrazione trasparente– Legge n. 241/1990 – accesso agli atti La disponibilità/accesso a tali documenti, dovrebbe essere attentamente valutata in quanto sono molte le vulnerabilità a cui l’Amministrazione si espone permettendo la consultazione in rete o l’accesso a seguito di una richiesta (vari esperti hanno peraltro posizioni diverse a riguardo). Riguardo alla normativa sull’amministrazione trasparente, è stata effettuata una ricerca nel sito dell’Anac per verificare quali documenti riguardanti la protezione dei dati sono presenti; risulta presente solo l’elenco: “Banche dati Anac Autorità Nazionale Anticorruzione”. Per quanto riguarda invece il diritto di accesso si rimanda alla definizione di “documento amministrativo”, vedi legge n. 241/1990. L’art. 22, lettera d) e successivamente modificato dalla legge n. 15/2015. Si definisce documento amministrativo “ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, anche interni o non relativi ad uno specifico procedimento, detenuti da una pubblica amministrazione e concernenti attività di pubblico interesse, indipendentemente dalla natura pubblicistica o privatistica della loro disciplina sostanziale”. Il Titolare quindi determinerà, secondo il principio di autotutela, se la Valutazione dei rischi collide con il principio di trasparenza, dato il rischio di utilizzo delle informazioni in modo lesivo degli interessi della Pubblica Amministrazione. Analoga considerazione può essere effettuata per quanto riguarda l’esercizio del diritto di accesso. Conclusioni – Il Titolare del trattamento, in mancanza di indicazioni al riguardo nel GDPR, deve considerare che la conoscenza da parte degli autorizzati di informazioni afferenti alle attività che svolgono aumenta la loro consapevolezza; d’altra parte egli deve tutelare i diritti e le libertà degli interessati, nonché l’ambito professionale ed il segreto industriale, non solo della sua impresa, ma anche di quelle dei suoi clienti nel ruolo di Titolari del trattamento, altrimenti potrebbe anche incorrere in richieste di risarcimento danni oltre ad essere contrattualmente inadempiente
Chi è e cosa fa il Privacy Officer?
Il privacy officer (in inglese, “agente della privacy”) è una figura professionale con competenze giuridiche, informatiche e gestionali, la cui responsabilità principale è osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’organizzazione, affinché questi siano trattatati in modo lecito e pertinente, nel rispetto delle normative vigenti. Quando il soggetto che ricopre questo ruolo opera con autonomia e gli è conferito potere decisionale nello svolgimento delle proprie mansioni, si parla di chief privacy officer (CPO), figura strategia di gestione “C-level” che si è diffusa negli USA e nei paesi anglosassoni a partire dagli anni ’90, istituita dalle grandi società per rispondere alla preoccupazione dei consumatori sull’utilizzo dei propri dati personali e per meglio gestire il rispetto delle norme inerenti al tema. (Per approfondimenti, vedasi “Il Privacy Officer storia ed evoluzioni della figura professionale) A motivo dei compiti che deve svolgere, il privacy officer deve possedere un’adeguata conoscenza della normativa che regolamenta la gestione dei dati personali nel paese in cui opera. Deve dunque poter offrire ai propri vertici aziendali la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, curando l’adozione di un complesso di misure di sicurezza finalizzate alla tutela dei dati che soddisfino i requisiti di legge e assicurino sicurezza e riservatezza. In Europa invece il Regolamento UE 2016/679 ha introdotto il Responsabile della Protezione dei Dati (Data Protection Officer), con competenze analoghe, ma che si distingue dal privacy officer dei paesi anglosassoni come figura non operativa e autonoma, che espleta le proprie funzioni di controllo in piena indipendenza senza ricevere alcuna istruzione o impartizione gerarchica, e che deve riferire sul suo operato direttamente ai vertici aziendali, i quali, per l’ esecuzione dei suoi compiti devono fornirgli personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti. L’art.38 del Regolamento europeo sulla protezione dei dati personali, descrive la posizione del “responsabile della protezione dei dati”: Il titolare del trattamento o il responsabile del trattamento si assicura che il responsabile della protezione dei dati sia prontamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali. Il titolare del trattamento o il responsabile del trattamento si assicura che il responsabile della protezione dei dati adempia alle funzioni e ai compiti in piena indipendenza e non riceva alcuna istruzione per quanto riguarda il loro esercizio. Il responsabile della protezione dei dati riferisce direttamente ai superiori gerarchici del titolare del trattamento o del responsabile del trattamento. Il titolare del trattamento o il responsabile del trattamento sostiene il responsabile della protezione dei dati nell’esecuzione dei suoi compiti e gli fornisce personale, locali, attrezzature e ogni altra risorsa necessaria per adempiere alle funzioni e ai compiti di cui all’articolo 39 del regolamento. L’art.39 del Regolamento europeo sulla protezione dei dati personali, elenca i compiti del responsabile della protezione dei dati: a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati; b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35; d) cooperare con l’autorità di controllo; e e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione. Il regolamento unico sulla protezione dei dati personali (c.d. GDPR, acronimo di “General Data Protection Regulation”) ha abrograto la direttiva 95/46/CE ed è direttamente applicabile dal 25 maggio 2018 in tutti gli Stati membri UE, obbligando tutti gli enti pubblici e tutte le aziende che rientrano nelle previsioni dell’art. 37 a nominare un data protection officer. Sempre l’art. 37 prescrive che la designazione del DPO debba essere fatta in base alla conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati, e della capacità di adempiere ai compiti di cui all’articolo 39, assicurandosi che la posizione della persona nominata non dia adito a conflitto di interessi. Il nominativo e le coordinate del Responsabile della Protezione dei Dati designato devono essere comunicati all’autorità di controllo e al pubblico, in Italia il Garante per la protezione dei dati personali. Già diversi anni prima dell’introduzione del Regolamento UE, Federprivacy ha promosso la certificazione con Tϋv Italia la figura professionale del Privacy Officer e Consulente della Privacy, dando così un riconoscimento ai professionisti che si occupano di privacy, ma che prima non avevano una connotazione definita. Secondo le Statistiche, dell’Osservatorio di Federprivacy, nel 2018 i professionisti che avevano intrapreso il percorso di certificazione come Privacy Officer erano più di 2.000, di cui più di 400 lo avevano già concluso sostenendo l’esame con Tϋv. (Vedasi anche il video “Come si svolge l’esame di certificazione“)
Interruzione ed eliminazione di un trattamento di dati personali secondo il principio della ‘Privacy by Design’
L’eliminazione di un trattamento di dati personali è una delle componenti del “ciclo di vita del trattamento”, spesso trascurata; essa si compone di due fasi: (Nella foto: l’Ing. Monica Perego, docente del Corso di alta formazione ‘Il sistema di gestione della privacy e le attività di audit‘) – l’interruzione del trattamento vero e proprio, ovvero il Titolare non raccoglie più dati afferenti a quel trattamento– l’eliminazione definitiva ed irreversibile dei dati che il Titolare conserva, afferenti a quel trattamento Le due attività possono coincidere, ad esempio nel caso in cui il Titolare decida di non pubblicare più una newsletter, per cui interromperà la raccolta delle adesioni alla newsletter ed eliminerà contestualmente i dati di coloro che la ricevevano, eventualmente previa comunicazione; oppure, interruzione ed eliminazione possono avvenire in momenti differenti, a distanza di tempo, come nel caso in cui il Titolare non abbia più necessità di raccogliere il casellario giudiziale dei propri dipendenti perché è cambiata la normativa che lo imponeva, ma deve comunque conservare per un certo periodo di tempo il casellario giudiziale dei dipendenti in essere. Alla luce di ciò è opportuno, soprattutto in realtà complesse, definire una procedura che descriva anche le modalità e responsabilità per la gestione delle due fasi, il che diventa anche criterio in fase di audit. Quello che segue è un esempio di estratto della procedura “Privacy by design” (principio previsto dall’art.25 del Gdpr) che riguarda l’interruzione e l’eliminazione del trattamento in un’organizzazione che dispone di un sistema di gestione della protezione dei dati ed in cui è presente la figura del DPO supportato dal Privacy Officer. Ovviamente, come tutti gli esempi, dovrà essere integrato e adeguato al contesto specifico delle singole realtà, e non ha alcuna pretesa di essere esaustivo. L’eliminazione di un trattamento avviene quindi in due step: 1. interruzione del trattamento, ovvero sospensione della raccolta dei dati relativi al trattamento;2. eliminazione del trattamento, ovvero dei documenti – cartacei e/o elettronici – che contengono dati relativi al trattamento. Step 1: prende avvio dopo che il Titolare ha valutato di interrompere l’acquisizione di nuovi dati degli interessati già presenti nei propri archivi, o l’acquisizione dei dati relativi a nuovi interessati. (In alcuni casi l’interruzione potrebbe essere momentanea e riprendere dopo un periodo di sospensione). Il Titolare si trova quindi a trattare solo dati già presenti negli archivi, fino alla loro eliminazione definitiva, secondo la tempistica indicata nel Registro e comunicata agli interessati tramite l’informativa Step 2: si concretizza quanto il Titolare elimina in modo definitivo i dati degli interessati; tale attività può essere contestuale allo step 1 o avvenire a distanza di tempo Le fasi previste dallo step 1, in seguito alla decisione del trattamento, a carico del Titolare, coadiuvato dal Privacy Officer, sono: – comunica al DPO la decisione di interruzione del trattamento (vedi flussi verso il DPO);– informa gli autorizzati a trattare i dati, circa la decisione di sospendere il trattamento stesso;– blocca l’accesso da parte degli autorizzati ai dati degli interessati, con l’esclusione di quelli necessari per poter dare riscontro ad una eventuale richiesta di esercizio dei diritti;– aggiorna il Registro dei Trattamenti indicando che il trattamento è sospeso;– ritira tutta la documentazione (es. modelli di informative) afferenti al trattamento;– valuta se sono in essere misure relative al trattamento che non sono più necessarie e nel caso le elimina;– valuta se sono in essere procedure – o parti di procedure – relative al trattamento che sono da modificare, nel qual caso procede alla loro modifica/eliminazione;– aggiorna il Modello Organizzativo Privacy (MOP) indicando l’interruzione del trattamento. Nell’intervallo di tempo (se previsto) tra lo step 1 e lo step 2 il Titolare deve dare riscontro agli interessati, quando ciò è applicabile, ad eventuali richieste dell’esercizio dei loro diritti. Le fasi previste dallo step 2, a carico del Titolare, coadiuvato dal Privacy Officer, sono: – comunica al DPO la decisione dell’eliminazione del trattamento (vedi flussi verso il DPO);– incarica gli autorizzati dell’eliminazione dei dati afferenti al trattamento, considerando che le modalità di trattamento saranno, di norma, quelle definite nel Registro dei Trattamenti;– se del caso mette a punto procedure specifiche per l’eliminazione dei dati (ad esempi nel caso di grandi quantità di dati da eliminare), coinvolgendo ed incaricando, se opportuno, anche fornitori nel ruolo di Responsabili del trattamento;– procede all’eliminazione dei dati afferenti al trattamento;– redige un verbale dell’eliminazione del Trattamento e lo conserva nella documentazione afferente alla protezione dei dati;– aggiorna il Registro dei Trattamenti eliminando il Trattamento;– valuta se sono in essere misure relative al Trattamento che non sono più necessarie, e in quel caso le elimina;– valuta se sono in essere procedure – o parti di procedure – relative al Trattamento che sono da eliminare; nel qual caso procede alla loro eliminazione;– aggiorna il MOP indicando l’eliminazione del trattamento. A valle dello step 2 il Titolare deve, a seguito dell’eventuale richiesta di un interessato per l’esercizio di un diritto, specificare che il trattamento è stato eliminato ed il Titolare non è più in possesso di alcun dato relativo all’interessato. Qualora ciò non si rivelasse esatto (a seguito ad esempio di prove fornite dall’interessato o indagini interne), il Titolare deve: – analizzare il caso;– rimuovere i dati eccedenti relativi all’interessato;– comprendere se possono essere disponibili dati di altri interessati, relativi al trattamento in oggetto e in quel caso eliminarli;– comprendere le cause dell’errore e rimuoverle (azione correttiva) affinché non si ripresentino. L’esempio di procedura riportata – che potrebbe essere resa ulteriormente complessa a seconda del contesto in cui opera l’organizzazione, prevedendo, ad esempio, anche comunicazioni mirate agli interessati – permette di comprendere la complessità intrinseca di questa fase del processo di ciclo di vita del trattamento, che è spesso trascurata. Ciò mette in luce che quanto afferisce alla protezione dei dati ha sempre un livello di complessità maggiore di quanto apparentemente possa risultare.
L’evoluzione delle automobili connesse ed i rischi in tema di sicurezza e privacy
Primo PianoGiovedì, 10 Febbraio 2022 10:56 Negli ultimi tempi la tecnologia ha fatto davvero passi da gigante ed ormai sta cambiando progressivamente il nostro modo di lavorare, di interagire e quindi di vivere nella nostra società grazie all’avvento di sofisticati dispositivi tecnologici che sfruttano le innumerevoli potenzialità che li contraddistinguono. Indubbiamente negli ultimi tempi il settore dei trasporti è tra i più interessati sul fronte dell’innovazione tecnologica, tant’è vero che si parla sempre di più di trasporto intelligente, obiettivo fondamentale anche dell’agenda digitale europea. (Nella foto: l’Avv. Michele Iaselli, Coordinatore del Comitato Scientifico) Il punto di riferimento principale, dal punto di vista normativo, è rappresentato dalla direttiva 2010/40/UE del Parlamento europeo e del Consiglio, del 7 luglio 2010 che sostiene l’importanza dei sistemi di trasporto intelligente al fine di contribuire ad un sistema di trasporto più pulito, più sicuro e più efficiente. La stessa direttiva fornisce un quadro per l’attuazione coordinata di queste innovative tecnologie di trasporto in tutta l’Unione europea (UE). Essa mira a stabilire servizi ITS interoperabili ed efficienti, lasciando decidere autonomamente i paesi dell’UE su quali sistemi investire. Tra i principali settori di intervento da intendersi come gli obiettivi prioritari per la diffusione e l’utilizzo, in modo coordinato e coerente, di sistemi di trasporto intelligenti sul territorio si annoverano: a) uso ottimale dei dati relativi alle strade, al traffico e alla mobilità;b) continuità dei servizi ITS di gestione del traffico e del trasporto merci;c) applicazioni ITS per la sicurezza stradale e la sicurezza del trasporto;d) collegamento telematico tra veicoli e infrastruttura di trasporto.Nell’ambito di tali settori i sistemi di trasporto intelligenti devono garantire sul territorio:a) la predisposizione di servizi di informazione sulla mobilità multimodale;b) la predisposizione di servizi di informazione sul traffico in tempo reale;c) i dati e le procedure per la comunicazione gratuita agli utenti, ove possibile, di informazioni minime universali sul traffico connesse alla sicurezza stradale;d) la predisposizione armonizzata di un servizio elettronico di chiamata di emergenza (eCall) interoperabile;e) la predisposizione di servizi d’informazione per aree di parcheggio sicure per gli automezzi pesanti e i veicoli commerciali;f) la predisposizione di servizi di prenotazione per aree di parcheggio sicure per gli automezzi pesanti e i veicoli commerciali. Appare evidente che l’introduzione di questi elementi innovativi è perfettamente compatibile, anzi ne rappresenta la logica conseguenza, alle automobili connesse che grazie a tutta una serie di dispositivi come radar, telecamere, sensori di diagnostica e altri strumenti telematici sofisticati sono in grado di dialogare fra loro e con infrastrutture stradali. Tali automobili, quindi, sono caratterizzate dalla connessione e comunicazione con il mondo esterno. Si tratta indubbiamente di un ulteriore passaggio che dovrà portare in futuro alle sempre più pubblicizzate automobili a guida autonoma che, però, in questo momento storico hanno subito un certo rallentamento a livello di sviluppo di mercato per il verificarsi di tutta una serie di incidenti imprevisti (si pensi, ad esempio, all’indicente della Model X della Tesla del 23 marzo 2018 con decesso del conducente oppure all’incidente che sempre nel marzo 2018 ha coinvolto una macchina a guida autonoma di Uber con la morte di un pedone). Previsioni, quindi, estremamente ottimistiche che devono tener conto anche della nascita e dello sviluppo delle c.d. autostrade intelligenti. Difatti, la mobilità sostenibile non è fatta soltanto di automobili: è necessario che anche le infrastrutture a esse collegate siano più tecnologiche ed ecologiche. Per questo l’autostrada del futuro sarà “intelligente”, ma soprattutto integrerà pannelli solari grazie a cui ricaricare i pali della luce (e persino le abitazioni circostanti) e ricaricherà le auto elettriche mentre la percorrono. Altro importante elemento che compone il concetto di autostrada 2.0 o 3.0 è l’utilizzo di sensori e dei dati raccolti dalle varie auto elettriche per una serie di servizi più precisi. Per esempio, il monitoraggio del traffico oppure mappe per la navigazione che siano aggiornate meglio e con maggiore regolarità. Magari utilizzando anche gli algoritmi automatici. Naturalmente in questo specifico campo sarà di grande utilità la tecnologia 5G: una tecnologia che è in grado di assicurare non solo una velocità maggiore nel trasferimento dei dati ed un minor tempo di attesa tra l’invio di un segnale e la sua ricezione, ma anche di gestire molti più dispositivi connessi contemporaneamente. Con questa tecnologia le automobili connesse potranno “dialogare” in maniera ancora più veloce ed efficace con altre automobili, infrastrutture e reti, scambiandosi dati e informazioni ad esempio sulla loro posizione, sulla situazione del traffico e sul meteo. L’introduzione di questi nuovi strumenti creerà inevitabilmente non pochi problemi dal punto di vista sia etico che giuridico poiché normative eccessivamente rigide potrebbero soffocare l’innovazione, ma la mancanza di chiarezza giuridica lascerebbe tutti gli operatori nel buio. Un contesto normativo trasparente è visto come un elemento chiave per lo sviluppo di nuovi dispositivi tecnologici e di sistemi autonomi di mercato, in cui prodotti e servizi possono essere distribuiti senza problemi. C’è il forte timore da parte di molti che una legislazione prematura ed invadente possa ostacolare il progresso scientifico ed annullare potenziali vantaggi o peggio ancora causare inefficienze economiche o altro. Allo stesso tempo, in qualche modo paradossalmente, si ammette che la mancanza di un ambiente giuridico affidabile e sicuro possa ugualmente ostacolare l’innovazione tecnologica. Tale difficile situazione mina sicuramente la certezza del diritto ed induce la gente ad agire in un settore ambiguo in cui i diritti e le responsabilità non sono preventivamente individuabili. Ma l’uso di dispositivi connessi potrebbe far nascere maggiori problemi anche in tema di sicurezza e di privacy. Si pensi, ad esempio, all’utilizzo di questi sistemi per tracciare informazioni inerenti viaggi, itinerari percorsi, abitudini di guida. Il tutto per avere preziosi dati ai fini di una profilazione sempre più mirata e quindi di un controllo sempre più sistematico. Non bisogna mai dimenticare che le nozioni di digital footprint, identità e profilazione degli utenti nell’ambito della comunicazione digitale e telematica, sono concetti tra loro strettamente collegati. In tal caso appare evidente l’importanza dell’approccio tipico della privacy by design già disciplinata dall’art. 25 del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (GDPR). Ovviamente al fine di proteggere tali sistemi da illecite interferenze o attività di trattamento dei dati personali è necessario prevedere adeguate misure tecniche ed organizzative e quindi implementare efficaci sistemi di sicurezza informatica. Alla luce anche di quando disciplinato dal GDPR all’art. 32 diventa necessario: 1. prevedere le minacce ed adattarsi ad esse;2. identificare ed eliminare le vulnerabilità esistenti;3. rilevare ed arrestare cyber attacchi con una velocità ed efficienza che non è sempre possibile ottenere con l’analisi umana.
Password vulnerabili? un assist agli hacker. Le regole per sceglierne una robusta
SpecialiLunedì, 17 Gennaio 2022 10:53 Le password meno sicure sono le più usate. E basta meno di un secondo per scoprirle. Al mondo, nel 2021, la parola chiave più usata è stata «123456». Tra le altre password più gettonate: «qwerty», «password» e «1q2w3e» e anche «111111», «123123» e «iloveyou». Passando ai nomi di persona svetta «Micheal», tra i marchi di automobile primeggiano «Ferrari» e «Porsche», tra gli appartenenti alla fauna «Dolphin» ha la posizione più alta (tutte le graduatorie sono rintracciabili sul sito https://nordpass.com). In Italia anche le squadre di calcio scalano la classifica e tra le compagini del football «juventus» conquista questo non invidiabile scudetto. Considerate da altro punto di vista gli analisti riferiscono dati allarmanti per la vulnerabilità dei dispositivi usati tutti i giorni a chiunque: l’84,5% delle credenziali è scoperto, con l’uso di appositi applicativi, in meno di un secondo. E il dato si è aggravato rispetto a quello, 73%, registrato nel 2020. Esistono tra l’altro tabelle riepilogative sul tempo necessario alla intercettazione della password e anche siti che misurano questo lasso di tempo. Per esempio, accedendo a https://www.security.org/how-secure-is-my-password/ è possibile ottenere immediatamente un riscontro sul tempo che è necessario a un malfattore cibernetico per svelare le credenziali. Diventa, quindi, cruciale sapere come scegliere una buona password. Anzi, poiché la vita, anche nei suoi aspetti quotidiani si svolge in rete, una efficace scelta delle password è necessaria come chiudere la porta di casa quando si esce. È paradossale oltre che autolesionista, quindi, un comportamento lassista o di sottovalutazione, che pur di assecondare la pigrizia e l’inerzia, accetti di correre rischi così alti. Rischi che il sistema di protezione pubblica non dimostra di essere in grado di arginare. Insomma, in rete bisogna aiutarsi da sé a partire dalle parole chiave. A questo riguardo un vademecum divulgativo è stato steso dal Garante della privacy. Impostazione corretta – Stando ai consigli del Garante una buona password deve essere abbastanza lunga: almeno 8 caratteri, anche se più aumenta il numero dei caratteri più la password diventa «robusta» (si suggerisce intorno ai 15 caratteri). La credenziale, poi, deve contenere caratteri di almeno 4 diverse tipologie, da scegliere tra: lettere maiuscole, lettere minuscole, numeri, caratteri speciali (cioè punti, trattino, underscore, ecc.). Non si devono inserire riferimenti personali facili da indovinare (nome, cognome, data di nascita, e così via). La parola chiave non deve nemmeno contenere riferimenti al nome utente (detto anche user account, alias, user id, user name). Inoltre, è meglio evitare che contenga parole «da dizionario», cioè parole intere di uso comune: è meglio usare parole di fantasia oppure parole «camuffate» per renderle meno comuni, magari interrompendole con caratteri speciali (per esempio: caffè può diventare caf-f3). Il Garante informa che esistono infatti software programmati per tentare di indovinare e rubare le password provando sistematicamente tutte le parole di uso comune nelle varie lingue, e con questa accortezza si può rendere il loro funzionamento più complicato. Il Garante ricorda anche che la password andrebbe periodicamente cambiata, soprattutto per i profili più importanti o quelli che si usano più spesso (e-mail, e-banking, social network). Gestione precisa – Il Garante avverte che bisogna utilizzare password diverse per account diversi (e-mail, social network, servizi digitali di varia natura). In caso di furto di una password si evita così il rischio che anche gli altri profili che appartengono alla stessa persona possano essere facilmente violati. Altra accortezza importante è quella di non utilizzare password già utilizzate in passato. Occorre poi ricordare che le eventuali password temporanee rilasciate da un sistema o da un servizio informatico vanno sempre immediatamente cambiate, scegliendone una personale Meccanismi multi-fattore – Il Garante consiglia, per stare più tranquilli, di utilizzare (non sempre disponibili) meccanismi di autenticazione multi-fattore (come codici Otp one-time-password), che rafforzano la protezione offerta dalla password. Conservazione – Per garantire un livello di sicurezza bisogna pensare a scegliere bene le password e, poi, a conservarle ancor meglio: le password non vanno mai scritte su biglietti che poi magari si conservano nel portafoglio o in borsa, o che si possono distrattamente lasciare in giro, oppure in file non protetti sui dispositivi personali (computer, smartphone o tablet). Bisogna evitare sempre di mettere altri a conoscenza delle password via e-mail, sms, social network, instant messaging. Anche se comunicate a persone conosciute, le credenziali potrebbero essere diffuse involontariamente a terzi o rubate da malintenzionati. Se si usano pc, smartphone e altri dispositivi che non ci appartengono, va evitato sempre di lasciare conservate in memoria le password utilizzate. Valutare i gestori – Si tratta di programmi specializzati che generano password sicure e consentono di appuntare in formato digitale tutte le password salvandole in un database cifrato sicuro. Ce ne sono di vario tipo, gratuiti o a pagamento. Il Garante lascia ai singoli la valutazione se usarli o non usarli. di Antonio Ciccia Messina (Fonte: Italia Oggi Sette del 17 gennaio 2022)
Regolamenti & Policy: il concetto di ‘responsabilizzazione’ come fulcro del sistema di gestione della privacy
Primo PianoMercoledì, 13 Ottobre 2021 11:38 Il Regolamento generale sulla Protezione dei Dati ha evidenziato la centralità di un elemento chiave per ciò che attiene alla tutela della privacy nella realtà aziendale: quello di “responsabilizzazione”, o accountability. Un concetto che diviene dunque dirimente nel processo di trattamento e imprescindibile per tutte le varie fasi che ne costituiscono la dinamica. In via preliminare, la “responsabilizzazione” – assioma capace di coinvolgere dunque interi settori professionali – sottolinea come chiunque si trovi a trattare i dati debba necessariamente adeguarsi alla vigente normativa sulla protezione delle informazioni personali. (Nella foto: Stefano Pacitti, delegato Federprivacy a Campobasso e membro del Gruppo di Lavoro per la tutela della privacy nella gestione del personale) Da un punto di vista pratico, invece, la correttezza delle procedure in questione si esplica sostanzialmente in una operatività rispettosa dei principi e delle disposizioni presenti nel Regolamento, nella consapevolezza dei rischi che il trattamento può comportare, ma anche nella adozione di misure tecnico-organizzative (anche certificate) che consentano di garantire procedimenti conformi alle prescrizioni, così come di prevenire i possibili pericoli in termini di adeguata sicurezza. Proprio a questo proposito si esprimono, in particolare, gli artt. 5, par. 2, 24 del GDPR ed il Considerando n. 74, i quali individuano una vera e propria forma di responsabilità giuridica posta in capo al Titolare del trattamento, con riferimento all’attuazione dei principi fondamentali di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza e aggiornamento, limitazione della conservazione, integrità e riservatezza ed all’adozione delle misure e delle politiche idonee alla protezione dei dati trattati. Ecco perché, se il Titolare è in grado di dimostrare la propria responsabilizzazione, riduce appunto il rischio di incorrere in violazioni e, soprattutto, nelle pesanti sanzioni amministrative pecuniarie contemplate dall’art. 83, parr. 4 e 5, GDPR oltre che in quelle penali. Ma il processo di responsabilizzazione passa anche attraverso tutti i soggetti che – all’interno dell’organizzazione aziendale – sono deputati alla gestione ed al trattamento dei dati personali per conto del Titolare: tutti costoro devono essere opportunamente “istruiti”, come previsto dal Regolamento, nell’ottica di una corretta operatività. È facile quindi comprendere, di conseguenza, l’importanza di specifici regolamenti o policies aziendali che vadano ad integrare il modello organizzativo in tema di privacy. I primi sono volti a individuare dettami e norme (che si sovrappongono a quelle contrattualcollettive) al fine di proceduralizzare e rendere chiare alla totalità dei dipendenti le istruzioni e le regole comportamentali per una corretta gestione di specifici aspetti. Le policies, invece, individuano tutte le possibili casistiche che possono coinvolgere il dipendente (in quanto figura attiva al trattamento) con i relativi processi di rischio, in modo da renderlo edotto sul da farsi ed evitando così errori, violazioni o trattamenti illeciti. Strumenti, questi, capaci di garantire un fedele adeguamento alle normative nazionali ed europee, ma anche di tutelare il Titolare da eventuali contestazioni rinvenibili a più livelli, interni ed esterni alla propria struttura. Dal sito di Federprivacy
Formalizzazione dei ruoli previsti dal Gdpr: per imprese e p.a. è bene mettere nero su bianco chi fa cosa
SpecialiLunedì, 27 Settembre 2021 11:25 Sbagliare la qualifica privacy può costare caro. La sanzione prevista dal Gdpr arriva fino a 10 milioni di euro o, se superiore, fino al 2% del fatturato mondiale annuo delle imprese. Per evitare ciò le imprese e le pubbliche amministrazioni devono districarsi tra le varie qualifiche e mettere sempre nero su bianco in un apposito atto/contratto il risultato di questo approfondimento. La mancata formalizzazione di ruoli è, infatti, autonomamente sanzionata, come è dimostrato dai provvedimenti n. 292, 293 e 294 del 22/7/2021 (si veda l’articolo dell’11 settembre 2021). In generale, le figure privacy sono: titolare del trattamento, contitolare, responsabile esterno. E, se la definizione astratta sembra semplice, tutt’altro che facile è l’individuazione in concreto. Il titolare decide finalità e modalità del trattamento; i contitolari, invece, decidono insieme le predette finalità e modalità; il responsabile del trattamento è un fornitore esterno, che tratta dati per conto del titolare e, quindi, agisce per le finalità e nell’ambito delle modalità decise dal titolare. Queste le definizioni generali, che però vanno calate nella realtà dei rapporti commerciali e istituzionali, che non sono mai così netti e, anzi, vi è quasi sempre promiscuità nelle posizioni e nei compiti. Per agevolare il percorso, non si può fare altro, dunque, che elaborare alcuni criteri indiziari, ciascuno non decisivo, ma utilizzabili in maniera sistematica per optare per una o l’altra qualifica. L’impresa, il professionista, l’associazione e l’ente pubblico potranno rispondere ai quesiti proposti nella pagina e individuare almeno con una valutazione di prevalenza, se orientarsi verso la titolarità oppure verso il rapporto tra titolare e responsabile. In quest’ultimo caso è d’obbligo la redazione di un contratto seguendo lo standard dell’articolo 28 del Gdpr. Se, invece, ci si sposta verso l’asse del rapporto di contitolarità, è necessario sottoscrivere un accordo ai sensi dell’articolo 26 Gdpr. di Antonio Ciccia Messina (Italia Oggi del 27 settembre 2021)
Sicurezza informatica in outsourcing: vantaggi e soluzioni per PMI
di Redazione odisseoprivacy.it scritto il 27 agosto 2021 Garantire la cybersecurity in azienda con un piano strategico e competenze specifiche: affidarsi a un Security Provider qualificato in outsourcing può fare la differenza. Le piccole e medie imprese, esattamente come le aziende di grandi dimensioni, subiscono continuamente attacchi che hanno come bersaglio la sicurezza informatica. La digitalizzazione che ormai coinvolge la stragrande maggioranza delle imprese, inoltre, sta rendendo ancora più cogente e concreto questo pericolo. Anche le piccole attività che si affacciano al digitale devono fare uno sforzo in più per proteggersi in modo sicuro, efficace e conforme al Regolamento Europeo sulla privacy 2016/679 (DGPR). Qual è la strategia più efficace per proteggere i dati dei propri clienti, fornitori e dipendenti, le risorse, i sistemi e le reti aziendali? Questo quesito pone le PMI davanti a una scelta che richiede impegno, ponderatezza e conoscenza dell’importanza del problema. La maniera più semplice sembra essere quella di incaricare della cybersecurity e della privacy chi già si occupa della manutenzione e aggiornamento delle infrastrutture informatiche aziendali. Questo soggetto può essere sia una figura interna all’azienda sia un consulente esterno. Questa decisione è legata a problemi di natura economica, dettate da possibili carenze di risorse. Non tutte le imprese, infatti, hanno la possibilità di assumere un responsabile interno della sicurezza informatica o il cosiddetto DPO previsto dal Regolamento UE 2016/679 o il meno impegnativo Responsabile interno incaricato per la privacy. Considerare la sicurezza della privacy e la manutenzione ed aggiornamento del sistema IT aziendale come un’unica responsabilità, può rivelarsi una scelta negativa, deleteria e controproducente in quanto può impedire che la sicurezza privacy venga svolta in modo conforme alla norma e nel migliore dei modi. Anche perché bisogna “costruire” tutto un sistema, affidare gli incarichi fra i soggetti adibiti al trattamento dei dati (ufficio acquisti, ufficio vendite, ufficio del personale, videosorveglianza, ecc.). Verificare quali sono i possibili rischi fisici (incendio, cortocircuito, furto, danni atmosferici, ecc.) e quelli informatici veri e propri e trovare le soluzioni idonee e conformi alle disposizioni normative. Verificare, infine, con audit interni o esterni se il sistema funziona adeguatamente e secondo le regole o continuare con corsi di formazione rivolti agli addetti per sanare i difetti e garantire il funzionamento del sistema. Periodicamente, almeno annualmente, va ripetuta la ricerca di possibili rischi e soluzioni per porvi rimedio. A sottolineare l’importanza di avere un sistema autonomo di gestione della cyber security e della privacy, interno o in outsourcing (esterno) sono anche gli standard di settore (ISO 27001:2013 e NIST CSF e Regolamento UE 2016/679 sulla privacy). Ostacolo per dare l’incarico all’interno al responsabile della sicurezza ed aggiornamento del sistema IT potrebbe essere l’insufficiente conoscenza da parte del soggetto o dei soggetti di quelle importanti norme che regolano il tutto e che si riferiscono a temi tanto impegnativi che potrebbero comportare sanzioni pecuniarie e financo penali per il Titolare dell’azienda. Per rendere realmente efficace una simile strategia, infatti, è basilare ed indispensabile rivolgersi a competenze specifiche e nel continuo aggiornamento delle stesse, che devono individuare le possibili minacce in continua evoluzione e trovare le soluzioni idonee per controbatterle. Le priorità dei soggetti addetti alla manutenzione ed aggiornamento del sistema IT che supporta il business, inoltre, possono non adeguarsi alle necessità di chi deve garantire la massima protezione ai dati, ai sistemi e ai dipendenti, generando una disputa ed un mancato allineamento alle norme che può nuocere alla stessa azienda. Un piano strategico di sicurezza informatica e della privacy, idoneo nel lungo periodo, dovrebbe prevedere l’opportunità di rivolgersi a uno specialista da assumere all’interno o in outsourcing o un’azienda specializzata in materia, in grado di supportare la ditta nella gestione del rischio e nel trovare le soluzioni in ogni direzione. La sicurezza informatica comprende funzioni e necessità che non riguardano solo gli aspetti hardware e software di un sistema, ma anche i pericoli legati ai dati che sono gestiti e conservati nei sistemi tecnologici. La nostra azienda (odisseoprivacy.it) ha nel suo organico specialisti nella materia che provvedono a predisporre tutto quanto necessario per essere conforme alle norme ed in particolar modo al Regolamento europeo sulla privacy 2016/679 (GDPR) per la sicurezza fisica e la sicurezza informatica per PMI e grandi imprese private e pubbliche: L’impatto di una minaccia informatica può essere importantissimo per un’azienda dal punto di vista economico (oltre che penale). È quindi necessario che la strategia di contrasto a questi potenziali rischi debba essere riconducibile a una decisione ai massimi livelli aziendali. La mancata cognizione comporta che la decisione nelle piccole aziende vengano affidate ai manutentori ed aggiornamento dei sistemi IT.A cura di Odisseoprivacy.it
Videosorveglianza e data breach sotto la lente del Garante Privacy
Flash News FederprivacyDomenica, 22 Agosto 2021 14:3 Meglio non trascurare le regolarità dei sistemi di videosorveglianza pubblici e privati, valutando attentamente la base giuridica del trattamento, la durata della conservazione delle immagini, le informative, e facendo particolare attenzione ai data breach e al trattamento eventuale di dati biometrici. Con deliberazione 22 luglio 2021 [doc.web 9689657], lo ha chiarito il Garante per la protezione dei dati personali, che ogni semestre fornisce indicazioni generali sui controlli da effettuare di propria iniziativa o tramite il Nucleo Speciale Privacy e Frodi Telematiche della Guardia di finanza. Per il secondo semestre del 2021 sotto osservazione saranno soprattutto gli impianti di videosorveglianza pubblici e privati. In particolare quelli che trattano dati biometrici per il riconoscimento facciale. Anche la videosorveglianza aziendale richiede quindi l’installazione di un cartello con tutte le informazioni minime ed il rinvio ad una idonea informativa di secondo livello che può essere pubblicata anche sul sito web aziendale oppure fornita in modalità ordinarie, come ha chiarito lo stesso Garante con l‘ordinanza ingiunzione n. 191 del 13 maggio 2021, in cui il nucleo tutela del lavoro dei carabinieri di Ferrara ha accertato il posizionamento di alcune telecamere all’interno di un’azienda senza il posizionamento in loco di alcun cartello o informativa. Al ricevimento della segnalazione il Garante ha attivato una procedura sanzionatoria che si è conclusa con l’applicazione di una sanzione amministrativa. L’art. 13 del regolamento europeo n. 679/2016, il Gdpr, prevede l’applicazione di un cartello sintetico con rinvio ad informazioni di dettaglio sulle finalità del trattamento e sui diritti dell’interessato. In considerazione della particolare attenzione che il Garante pone sui sistemi di videsorveglianza, nell’ultima parte del 2021 Federprivacy ha promosso due eventi formativi dedicati a questi delicati temi, rispettivamente il “Corso La videosorveglianza con le Linee Guida EDPB 3/2019” di quattro ore in agenda per il 25 settembre, e anche il “Corso Specialistico per Privacy Officer nel settore Videosorveglianza” di 16 ore, con lezioni di quattro ore ciascuna in programma il 14, 21, 28 ottobre e l’ultima il 4 novembre. Oltre gli impianti di videosorveglianza, nel secondo semestre del 2021 sotto la lente dell’Autorità vi saranno anche i trattamenti effettuati dalle società di marketing e di profilazione, dai data broker e dalle banche dati reputazionali, e anche i trattamenti effettuati dagli istituti di ricovero e cura e dalle società rientranti nel settore del food delivery e ai data breach.
I criteri per progettare un sistema di Videosorveglianza conforme ai princìpi di privacy by design e by default
FederprivacyMartedì, 24 Agosto 2021 09:06 Le linee Guida n. 3/2019 dei Garanti Europei sul “trattamento dei dati personali attraverso dispositivi video” del 29 Gennaio 2020 affrontano il tema dell’applicazione dei principi della privacy by design e by default ad un sistema di videosorveglianza. Il Regolamento UE 679/2016 non fornisce una definizione di “videosorveglianza”, mentre una descrizione tecnica è contenuta nella norma CEI EN 62676-1-1, alla quale si rifanno le recenti Linee Guida 3/2019 adottate dall’European Data Protection Board. La norma CEI EN 62676-1-1 individua tre blocchi funzionali tipici dei sistemi di videosorveglianza, definendone i requisiti minimi di prestazione. Essi sono: – L’ambiente video, finalizzato all’acquisizione dell’immagine, alla sua trasmissione, visualizzazione, analisi e memorizzazione.; – La funzione di gestione del sistema, riferito a tutte quelle attività di collegamento con l’operatore e con altri sistemi, che comprendono, ad esempio, i comandi dell’operatore o le procedure di allarme generate dal sistema. – La funzione di sicurezza del sistema che sovrintende all’integrità dei dati e del sistema, segnala gli eventuali guasti e protegge il sistema di videosorveglianza dalle manomissioni volute e/o involontarie. Un sistema di videosorveglianza osservano i Garanti Europei prima di essere messo in funzione deve essere progettato secondo quanto previsto dall’articolo 25 del regolamento, in maniera tale da implementare misure tecniche e organizzative adeguate di protezione dei dati. (Nella foto: l’Avv. Marco Soffientini, Data Protection Officer di Federprivacy, e docente dei corsi promossi da Federprivacy in materia di videosorveglianza) Il titolare del trattamento dovrà proteggere adeguatamente tutti i componenti di un sistema di videosorveglianza e i dati in tutte le fasi di trattamento, vale a dire durante la conservazione (“data at rest”), la trasmissione (“data in transit”) e l’utilizzo (“data in use”). In tema di misure organizzative, oltre alla eventuale necessità di una valutazione d’impatto sulla protezione dei dati (art.35 Reg. UE 679/2016), nell’elaborare le proprie politiche e procedure di videosorveglianza i titolari del trattamento dovranno definire: – A chi compete la responsabilità della gestione e del funzionamento del sistema di videosorveglianza; – La finalità e l’ambito di applicazione del progetto di videosorveglianza; – Gli utilizzi consentiti e quelli vietati (ad esempio, stabilire se la captazione audio è ammessa o meno); – Le informative brevi e complete da rendere agli interessati che si accingono ad entrare in un’area videosorvegliata; – La durata delle registrazioni video; – Le modalità di conservazione delle videoregistrazioni; – La formazione per gli operatori addetti all’utilizzo del sistema di videosorveglianza; – Le modalità di accesso alle registrazioni video, specificando in quali casi è ammessa; – Le procedure in caso di data breach; – Le procedure da seguire in caso di richieste di accesso alle immagini provenienti da terzi (definendo in quali casi accogliere le richieste e in quali rigettarle); – Le procedure per la manutenzione del sistema di videosorveglianza (aggiornamento telecamere, software, ecc.); Per quanto concerne la sicurezza tecnica, si fa riferimento alla sicurezza fisica di tutti i componenti del sistema, nonché all’integrità dello stesso, vale a dire alla protezione e resilienza in caso di interferenze volontarie e involontarie nel suo normale funzionamento e controllo degli accessi. Inoltre, devono essere garantite la riservatezza (i dati sono accessibili solo a coloro a cui è concesso l’accesso), l’integrità (prevenzione dalla perdita o dalla manipolazione dei dati) e la disponibilità (i dati possono essere consultati ogniqualvolta sia necessario). Le misure da adottare sono sostanzialmente identiche alle misure utilizzate in altri sistemi IT e possono riguardare: – La protezione dell’intera infrastruttura del sistema TVCC (comprese telecamere remote, cablaggio e alimentazione) contro manomissioni fisiche e furti; – La protezione dei canali di trasmissione; – La cifratura dei dati; – L’implementazione di firewall, antivirus o sistemi di rilevamento delle intrusioni contro gli attacchi informatici; – Il rilevamento di guasti di componenti, software e interconnessioni; – L’impiego di strumenti per ripristinare la disponibilità dei dati personali e l’accesso agli stessi in caso di problemi fisici o tecnici. Una corretta implementazione delle misure organizzative e tecniche richiede l’adozione di un regolamento interno sull’utilizzo del sistema di videosorveglianza; un documento che consentirà al titolare del trattamento di dimostrare di aver predisposto misure tecniche e organizzative adeguate in ossequio al principio di responsabilizzazione (accountability). Articolo di Marco Soffientini, docente del “Corso La videosorveglianza con le Linee Guida EDPB 3/2019” e del corso “Corso Specialistico per Privacy Officer nel settore Videosorveglianza”
Il consenso va acquisito per ciascun passaggio dei dati tra più titolari.
Il consenso, inizialmente rilasciato da un cliente ad una società, anche per attività promozionali di terzi, non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari. Tali cessioni, infatti, non sarebbero supportate dal necessario consenso, specifico ed informato dell’interessato. Sulla base di questo principio, il Garante per la protezione dei dati personali ha comminato una sanzione di circa 3 milioni di euro ad Iren Mercato S.p.A., società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti da consenso. A seguito di diversi reclami e segnalazioni il Garante ha accertato che la società aveva infatti trattato dati personali per attività di telemarketing, che non aveva raccolto direttamente, ma che aveva acquisito da altre fonti. Iren, infatti, aveva ottenuto liste di anagrafiche da una S.r.l., che a sua volta le aveva acquisite, in veste di autonomo titolare del trattamento, da altre due aziende. Queste ultime società avevano ottenuto il consenso dei potenziali clienti per il telemarketing effettuato sia da loro che da parte di terzi, ma tale consenso non copriva anche il passaggio dei dati dei clienti dalla S.r.l. all’Iren. L’ammontare della sanzione applicata dal Garante è stato motivato anche dal fatto che le liste anagrafiche, prive di tutti i consensi necessari e di cui il Garante ha vietato ogni ulteriore utilizzo a fini promozionali, riguardavano diversi milioni di persone. L’Autorità ha, infine, rivolto un avvertimento alla società per aver fornito una rappresentazione ed una documentazione probatoria incompleta ed inidonea durante l’istruttoria. Lo Staff IusPrivacy è pronto per offrire ulteriori informazioni. https://www.iusprivacy.eu/contatti.jsp
Privacy dipendenti, violazione con sanzione duplice: penale ed amministrativa.
Redazione PMI.It – scritto il 14 Giugno 2021 Privacy dipendenti, violazione con sanzione duplice di Redazione PMI.It scritto il 14 Giugno 2021 Il trattamento non legittimo dei dati dei dipendenti può far scattare non solo un reato con sanzione penale ma anche una ulteriore sanzione amministrativa. Ancora una volta il Garante Privacy è intervenuto a sanzionare imprese che non hanno correttamente gestito ed utilizzato i dati dei propri dipendenti. La rilevanza dell’intervento non va tanto individuata nell’azione posta in essere dal Nucleo privacy della Guardia di Finanza, né tanto meno nella sanzione irrogata all’azienda, quanto piuttosto alla considerazione che, ancora oggi, non si tenga in debito conto l’essenziale connessione tra gli aspetti del controllo dei dipendenti da una parte, e l’adozione di un adeguato sistema di protezione dei dati dall’altra. Il sistema di gestione privacy con l’obiettivo della salvaguardia dei diritti fondamentali assume, non dimentichiamolo, una doppia valenza per le imprese: sicurezza informativa e sviluppo digitale; corretta gestione dei dati nelle dinamiche del diritto del lavoro. E’ proprio in questa ottica che l’adozione di un modello adeguato di protezione dei dati si inserisce perfettamente nell’ambito della responsabilità sociale di impresa. Questo perché etica, sostenibilità e responsabilità sono i pilastri non solo del GDPR ma anche di quelle imprese che guardano al futuro ed a un mondo del lavoro che sta cambiando (smart working, in primis). È proprio in questa ottica che va guardata la vicenda che ha visto intervenire il Garante. Il caso Ai fini di un procedimento disciplinare contro un lavoratore, in un caso dei mesi scorsi che ha fatto scalpore per l’entità della sanzione comminata (40mila euro), la società aveva utilizzato informazioni recuperate dal proprio sistema informatico violando i limiti di conservazione e registrazione stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Come ha ricordato il Garante: in base alla vigente disciplina di settore i trattamenti di dati personali possono essere effettuati mediante l’utilizzo di strumenti tecnologici qualora questi ultimi siano impiegati “esclusivamente” per il perseguimento in concreto di finalità predeterminate (per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale), così come individuate nell’autorizzazione rilasciata dall’autorità pubblica (in mancanza di accordo con le rappresentanze dei dipendenti; v. art. 4, l. 20.5.1970, n. 300). La norma di settore, richiamata espressamente dalla disciplina in materia di protezione dei dati personali, costituisce una delle norme del diritto nazionale “più specifiche per assicurare la protezione dei diritti e delle libertà con riguardo al trattamento dei dati personali dei dipendenti nell’ambito dei rapporti di lavoro” individuate dall’art. 88 del Regolamento. È evidente, quindi, che proprio nella prospettiva dell’integrazione delle due normative che occorre approcciarsi al sistema di protezione e gestione dati, in quanto ciò permetterà di evidenziare tutti gli eventuali limiti e debolezze delle procedure aziendali. L’imprenditore, prima di procedere alla formale contestazione, avrebbe ben dovuto tener conto che il proprio sistema informatico di monitoraggio, diversamente da quanto comunicato all’Ispettorato del lavoro e da quanto indicato nell’informativa, permetteva la raccolta illegittima di informazioni sull’attività lavorativa dei dipendenti. Non solo, dall’istruttoria è anche emerso che quei dati (che comunque non si sarebbero dovuti raccogliere) erano anche stati utilizzati per finalità ulteriori e non previste dalle medesime informative e autorizzazioni. Tra le finalità di trattamento non rientra né quella preordinata all’adempimento di obblighi stabiliti con il contratto di lavoro, né, tanto meno quella preordinata al perseguimento del “legittimo interesse del titolare”, che costituisce in termini generali una delle condizioni di liceità del trattamento a condizione, peraltro, che il titolare effettui preventivamente un test comparativo rispetto agli interessi o i diritti o le libertà fondamentali dell’interessato. A ciò deve pure aggiungersi che sono state riscontrate irregolarità anche nei tempi di conservazione. Dalla lettura del provvedimento, infatti, sembrerebbe che vi sia sta confusione tra dato anonimizzato, che ha tempi di conservazione pressoché illimitati, e dati pseudonimizzati (come quelli dell’azienda sanzionata) che proprio perché riconducibili a soggetti determinati in associazione ad altre informazioni (di cui il datore di lavoro era in possesso), impongono tempi di conservazione non superiori al conseguimento delle finalità di trattamento perseguite. Pertanto ancora una volta è imporrante sottolineare come l’adozione di un sistema di gestione GDPR, lungi da mettere freni allo sviluppo dell’attività imprenditoriale, deve essere utilizzato come adeguato strumento di sviluppo e tutela: la questione non è se compiere una scelta o meno, ma – nei limiti del rispetto dei diritti fondamentali – come metterla in atto. L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e ha ingiunto il pagamento della sanzione. Si conclude riportando la rilevante precisazione che il Garante offre a conclusione del proprio provvedimento, laddove l’Autorità osserva, infine, che il proprio accertamento non costituisce una duplicazione rispetto alla decisione del giudice penale, considerato che mentre la sanzione penale – alla luce della natura personale della relativa responsabilità – può essere applicata nei confronti della persona fisica ritenuta colpevole del reato, l’applicabilità della sanzione amministrativa prevista dalla disciplina in materia di protezione dei dati personali è, nel caso concreto, da valutare nei confronti di una persona giuridica. Rimane aperta la strada, quando il Legislatore riterrà di ritornare sui propri passi (a mio giudizio scelta auspicabilmente), dell’inserimento dei reati di illegittimo trattamento dei dati personali nell’ambito dei reati presupposto di cui alla legge 231/01. Avv. Emiliano Vitelli
Ecco perché il Data Protection Officer deve essere anche resiliente e assertivo
Federprivacy – Giovedì, 27 Maggio 2021 10:39 Come è noto, per essere in grado di adempiere ai compiti che gli sono attribuiti dall’art.39 del Gdpr, il data Protection officer deve possedere competenze giuridiche, informatiche, e anche organizzative. Tuttavia, anche in presenza di tutte queste skills, non si può dare affatto per scontato che il professionista designato sia effettivamente idoneo a svolgere il ruolo di DPO. (Nella foto: Nicola Bernardi, presidente di Federprivacy) Ovviamente, si tratta delle tre principali competenze che è fondamentale ritrovare nel profilo di un aspirante Responsabile della Protezione dei Dati, ma come un tavolo a tre gambe sta in piedi fino a quando non si verificano imprevisti che fanno venir meno uno dei tre sostegni, così anche il DPO che non possiede ulteriori qualità caratteriali necessarie per affrontare e gestire situazioni di stress potrebbe naufragare alla prima tempesta, anche con gravi ripercussioni per il titolare del trattamento che lo ha nominato. A conferma di come, specialmente nelle organizzazioni strutturate, il DPO debba essere una persona assertiva ( nota di OdisseoPrivacy.com: di persona capace di farsi valere pur nel rispetto del diritto degli altri) e resiliente ( nota di OdisseoPrivacy.com: adattarsi in maniera positiva ad una condizione negativa e traumatica) sotto il profilo psicologico, basti pensare al fatto che l’art.38 del Regolamento europeo richiede che “il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento”, ma che d’altra parte “gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti”. Ciò significa, che il DPO deve quindi sapersi relazionare tanto con dirigenti del top management quanto con il pensionato o la casalinga di turno che intende reclamare il rispetto della propria privacy. Solo un Data Protection Officer che ha la capacità di rimanere lucido e mantenere i nervi saldi davanti a situazioni emotivamente provanti, può affrontare in modo efficace una inattesa ispezione da parte dell’Autorità per la protezione dei dati personali o da parte dei finanzieri del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche, e solo un DPO che ha certe caratteristiche può essere un vero supporto per il titolare del trattamento al verificarsi di scenari tanto imprevisti quanto imprevedibili come quello che si è delineato durante l’emergenza sanitaria da Covid-19, quando tutte quelle che erano state fino ad allora le normali prassi quotidiane della protezione dei dati sono state improvvisamente rimesse in discussione (se non stravolte) con la necessità di fornire risposte immediate a richieste di pareri riguardanti la misurazione della temperatura corporea ai lavoratori, l’utilizzo di termoscanner negli esercizi commerciali, la rilevazione dello stato di positività dei dipendenti, poi successivamente la gestione delle campagne vaccinali in azienda, e tutta una serie di continue questioni da dirimere urgentemente che hanno puntualmente messo sotto pressione il DPO. Tutto questo contesto potenzialmente frenetico, pone pertanto la necessità di verificare attentamente certe caratteristiche caratteriali e professionali, che di fatto costituiscono una quarta gamba del tavolo contribuendo a renderlo più stabile e più robusto, prima di effettuare una nomina del Data Protection Officer, anche relativamente alla sua elasticità mentale e fattiva disponibilità, in quanto né il Garante concorda il giorno e l’ora per effettuare un’ispezione, né il temuto data breach prende appuntamento; anzi gli addetti ai lavori sanno bene come purtroppo certi eventi dannosi accadono inaspettatamente spesso proprio nel week end o nelle ore notturne, se non durante i periodi di ferie, che potrebbero quindi essere infelicemente guastate a chi ricopre questo ruolo chiave previsto dal Gdpr. E se l’art.37 del Regolamento ammette che un gruppo imprenditoriale possa nominare un unico responsabile della protezione dei dati, non allevia certo l’ansia a chi assume tale incarico sapere, come precisa lo stesso articolo, che ciò è possibile solo “a condizione che un responsabile della protezione dei dati sia facilmente raggiungibile da ciascuno stabilimento”. Per evitare quindi di trovarsi la persona sbagliata nel momento sbagliato nelle varie casistiche che sono state esemplificate in modo non esaustivo, è pertanto fondamentale non basarsi esclusivamente sulle primarie competenze professionali e su quello che viene dichiarato nel curriculum dal candidato, che potrebbe peraltro essere del tutto autoreferenziale, ma approfondire anche con valutazioni ulteriori attraverso test attitudinali, documentazione di referenze pregresse, ripetuti colloqui conoscitivi, ed ogni altro metodo lecito che possa essere utile a determinare se il professionista che si intende nominare come DPO sia davvero quello giusto.
Lavoro: informazioni corrette ai dipendenti sui sistemi aziendali in uso
NEWSLETTER N. 477 del 19 maggio 2021 Una società manifatturiera non potrà più utilizzare i dati dei dipendenti trattati illecitamente attraverso un sistema informatico in uso presso l’azienda. La società non aveva informato correttamente i lavoratori delle caratteristiche del sistema che aveva impiegato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato territoriale del lavoro. Per questi motivi dovrà pagare una sanzione di 40mila euro e mettersi in regola con le misure correttive stabilite dal Garante per la privacy. L’Autorità, intervenuta a seguito del reclamo di un sindacato, ha appurato che, a differenza di quanto sostenuto dalla società, il sistema, che prevedeva l’inserimento di una password individuale sulla postazione di lavoro prima di iniziare la produzione, raccoglieva anche dati disaggregati e per finalità ulteriori rispetto a quelle dichiarate nelle informative. È risultato, infatti, che anche i dati sulla produzione erano riconducibili a lavoratori identificabili, attraverso l’utilizzo di ulteriori informazioni in possesso del datore di lavoro. E che i dati di un singolo dipendente fossero stati utilizzati per altre finalità, non previste dalle informative e non autorizzate dall’Ispettorato, è stato di fatto confermato, nell’ambito di un procedimento disciplinare, dalla verifica effettuata dal direttore delle risorse umane sui “fermi” della macchina alla quale il lavoratore era addetto. Dagli accertamenti del Garante è emerso, inoltre, che il sistema informatico coesisteva con la precedente modalità di organizzazione del lavoro, basata sulla compilazione di moduli cartacei nei quali il nominativo dei dipendenti è indicato in chiaro. Moduli che poi venivano conservati e registrati su un apposito software, ma senza alcuna separazione, tanto che i dati in essi contenuti sono stati utilizzati nel procedimento disciplinare. In questo modo la società contravveniva a quanto indicato nelle informative sul funzionamento del sistema e nell’autorizzazione rilasciata dall’Ispettorato, che vietavano espressamente l’utilizzo dei dati raccolti a fini disciplinari. Irregolarità sono state riscontrate anche nei tempi di conservazione dei dati dei lavoratori. L’Autorità quindi, ritenuto illecito il trattamento effettuato, ha ordinato alla società di modificare le informative rese ai lavoratori, indicando nel dettaglio tutte le caratteristiche del sistema, e le ha ingiunto il pagamento di una sanzione.
Se la cancellazione dei dati è affidata a terzi serve il certificato di avvenuta distruzione
Lunedì, 10 Maggio 2021 09:36 Come si cancellano i dati personali? Il primo scoglio da superare è la diversità di approccio operativo da quello normativo: il professionista tende a organizzare i dati per cliente oppure per incarico mentre la legge vuole che si cancellino i dati quando non più necessari allo scopo. Ne consegue che all’interno di una pratica o cartella informatica possano coesistere dati ancora necessari e dati che non lo sono più. Quindi, per prima cosa, occorre selezionare il necessario dal superfluo, salvo che questa cernita sia già connaturata alla tipologia di carteggio, come avviene nell’ipotesi di una pratica di causa. Giunto il momento della cancellazione – cioè scadenza del tempo di conservazione o venir meno del motivo che legittima la stessa: per esempio, la revoca del consenso del soggetto all’uso dei propri dati a fini marketing – occorre procedere: se il materiale è su supporto cartaceo, la cancellazione consiste nella distruzione della carta, preferibilmente con macchinari trita-documenti, per evitare di ripetere quanto capitato a una farmacia che gettò nei contenitori dei rifiuti pacchi di prescrizioni mediche, dando luogo a un grave data breach, sanzionato. Affidarsi a terzi – Se il materiale è voluminoso, magari sistemato in un archivio, è preferibile affidarsi a ditte specializzate, previa verifica del loro processo di smaltimento, meglio se certificato e con rilascio di un attestato di avvenuta distruzione. Se il materiale da cancellare è su supporto informatico, vanno distinti i dati che sono da cancellare riguardo a determinate finalità ma che continuano a essere necessari per altre, dai dati che non servono più in assoluto. Nel primo caso, la cancellazione si traduce in una forma di blocco permanente di quei dati riguardo a quelle specifiche finalità, nel senso che le regole informatiche ne inibiscono l’uso (inclusa la visualizzazione). La certificazione – Attenzione va prestata alla corretta gestione di questo processo per evitare di cadere nel medesimo errore di una banca spagnola che per l’apertura di un nuovo conto corrente da parte di un vecchio cliente che aveva già richiesto la cancellazione dei suoi dati causa fine del rapporto, ha condizionato la pratica a una dichiarazione di revoca della cancellazione da parte dell’interessato. La cancellazione, infatti, non ammette revoca: occorre richiedere di nuovo i dati, per cui la banca è stata sanzionata. Se i dati da cancellare sono tutti su un unico supporto informatico, questo può essere o distrutto materialmente (in modo da renderlo inutilizzabile) oppure può essere lavorato con appositi software di sovrascrittura che non permettono la ricostruzione di quanto in precedenza memorizzato. In tutti questi casi, in base al principio di accountability che richiede al professionista di provare il suo adempimento, è bene documentare le operazioni effettuate. di Rosario Imperiali (Fonte: Il Sole 24 Ore del 10 maggio 2021)

Anche la mia attività deve adeguarsi ?
Dal 25 maggio 2018 è in vigore il GDPR sulla privacy, le prescrizioni riguardano i dati personali di cittadini UE. Deve quindi essere valutato se l’azienda tratta dati personali e in che misura. Ricordiamo ad esempio che alcune prescrizioni non si applicano ad aziende con meno di 250 dipendenti, se non in alcuni casi che sono ben specificati nel Regolamento. Anche un piccolo studio professionale è chiamato a rispettare il regolamento qualora tratti dati personali (clienti, lavoratori) in maniera sistematica, in relazione alla propria attività. Anche una piccola azienda con pochi dipendenti che tuttavia gestisce grosse liste di utenti (es.: clienti e-commerce, iscritti a mailing list, ecc.) è tenuta a verificare la propria compliance. Una serie di prescrizioni dipendono dall’attività svolta Ruolo importante è costituito dal tipo di dati con cui l’attività svolta entra in contatto, o dalla necessità o meno di nominare la figura del responsabile del trattamento dei dati in azienda. E’ importante quindi effettuare una valutazione del rischio di impatto del vostro trattamento dati in relazione alla loro tutela, non affidarti al caso contatta il nostro staff per un appuntamento, facciamo tutto noi !
Controlli sul pc del dipendente: la finalità difensiva non esonera il datore dal rispettare i limiti imposti dalla normativa sulla privacy
SpecialiLunedì, 14 marzo 2022 21:59 La vicenda trae origine dal licenziamento di una dipendente alla quale era stata contestata la trasmissione a terzi di e-mail contenenti informazioni altamente riservate della società datrice di lavoro. La giurisprudenza torna a pronunciarsi sulla legittimità dei controlli del datore di lavoro sulla posta elettronica del dipendente. Questa volta è il Tribunale di Genova ad affrontare la questione, con sentenza resa lo scorso 14 dicembre, richiamando e facendo propri i principi recentemente elaborati dalla giurisprudenza di legittimità in tema di controlli difensivi alla luce dell’attuale formulazione dell’art. 4 dello Statuto dei Lavoratori, così come modificato dall’articolo 23 del Dlgs. n. 151 del 2015. La vicenda trae origine dal licenziamento di una dipendente alla quale era stata contestata la trasmissione a terzi di e-mail contenenti informazioni altamente riservate della società datrice di lavoro. La dipendente aveva quindi impugnato il licenziamento disciplinare intimatole, eccependo in via preliminare l’illegittimità del controllo effettuato dal datore di lavoro sulla sua posta elettronica e la conseguente inutilizzabilità dei dati così acquisiti. Senza nemmeno entrare nel merito dei fatti contestati, il Giudice del Lavoro ha disposto l’annullamento del licenziamento e la reintegrazione della lavoratrice nel posto di lavoro, sulla base di un rilievo puramente formale, avendo accertato che, nel caso al suo esame, non era stata fornita alla dipendente alcuna informativa sui possibili controlli che il datore di lavoro avrebbe potuto effettuare sulla posta elettronica, né erano state indicate le specifiche finalità e i limiti di tale controllo. Era del tutto assente, inoltre, la prova dell’esistenza di un fondato sospetto da parte del datore di lavoro circa la commissione di illeciti da parte della lavoratrice licenziata. Il Giudice perviene a tale conclusione partendo dall’assunto che i controlli difensivi, quelli cioè diretti ad accertare la commissione di eventuali illeciti da parte del dipendente, sebbene non richiedano ai fini della loro legittimità l’osservanza degli obblighi procedurali di cui all’art. 4 dello Statuto dei Lavoratori (accordo sindacale o, in alternativa, autorizzazione dell’Ispettorato del Lavoro), soggiacciono ad altri limiti imposti dal nostro ordinamento giuridico e segnatamente dalla normativa sulla privacy. In particolare, il principio che può trarsi dalla pronuncia in questione è che, affinché un controllo difensivo possa ritenersi legittimo, occorre che al lavoratore sia stata fornita una preventiva informativa circa la raccolta dei dati e la possibilità di controllo degli stessi da parte del datore di lavoro, con indicazione della finalità e dei limiti di tale controllo. È necessario altresì che il controllo muova da un fondato e concreto sospetto del datore di lavoro sulle anomalie riferibili al dipendente, che le verifiche attengano a dati raccolti dopo l’insorgenza di tale sospetto e che il controllo avvenga previo bilanciamento fra dignità e riservatezza del lavoratore ed esigenze aziendali. I controlli, per essere legittimi, devono quindi essere attuati nel rispetto dei principi di ragionevolezza, proporzionalità e di pertinenza e devono essere strettamente necessari a garantire l’esercizio del diritto di difesa in capo al datore di lavoro. Ove tali cautele non fossero rispettate, i dati acquisiti dal datore di lavoro nell’ambito dei controlli difensivi non potranno essere validamente utilizzati nemmeno ai fini disciplinari, restando preclusa la prova dei fatti posti a fondamento del licenziamento. La pronuncia del Tribunale di Genova, che si pone in linea con la più recente giurisprudenza in tema di controlli difensivi del datore di lavoro, offre quindi l’occasione per rimarcare quanto sia importante per i datori di lavoro predisporre ed implementare una adeguata informativa sul possibile utilizzo dei dati acquisiti attraverso i controlli del pc del lavoratore. Fonte: Il Sole 24 Ore del 14 marzo 2022 – di Giuseppe Merola
Privacy online e dati personali a rischio con l’avvicinarsi del giorno di San Valentino
Privacy & SocietàMartedì, 08 Febbraio 2022 19:06 Privacy digitale e dati personali a rischio con le app e siti di dating online in occasione del giorno di San Valentino. A segnalarlo, è il noto produttore di software antivirus Kaspersky, che fornisce anche alcuni consigli per proteggersi. Secondo un recente studio della stessa Kaspersky, il 67% degli italiani ha paura di subire stalking da persone conosciute online, mentre il 14% è stato vittima di doxing. Ad oggi, molte di queste app richiedono agli utenti di registrarsi attraverso i loro profilo Facebook o l’account di un altro social network, modalità che automaticamente compila i nuovi campi nel profilo della app di dating online con foto e informazioni personali come il luogo di lavoro o di studio, ma questi dati che sono memorizzati sul proprio profilo social consentono ad un potenziale doxer di trovare utenti online e scoprire informazioni sul loro conto. Inoltre, i ricercatori di Kaspersky hanno notato che le attività di scamming si intensificano proprio a ridosso del 14 febbraio, giorno di San Valentino, e quest’anno non sembra essere un’eccezione. Oltre ad imitare le popolari app di dating per raccogliere informazioni personali sulle vittime, i cybercriminali hanno iniziato a diffondere e-mail fingendosi donne alla ricerca di un partner. La truffa prevede l’invio di una mail contenente un link diretto ad una pagina di phishing che imita un sito web di incontri e chiede alla vittima di completare un form indicando le proprie preferenze. Infine, viene chiesto all’utente di inserire le proprie credenziali bancarie. Superfluo dire che alla fine la vittima perde dati, soldi e la possibilità di conoscere nuove persone. Per contrastare i rischi che si corrono utilizzando le app di dating online, compresi quelli del phishing e del furto d’identità, Kaspersky ha stilato alcuni consigli, tra cui quello di non collegare il proprio account Instagram o di altri social al profilo dell’app di dating, non condividere il proprio numero di cellulare o altri contatti di messaggistica, fare attenzione se in fase di registrazione viene chiesto di scaricare e installare un’applicazione, visitare un sito web, diffidare dai bot, e se possibile modificare le impostazioni delle app per rendere visibili i dati sensibili solo alle persone con cui si fa “match”, e così da limitare l’accesso ad un numero ristretto di persone e riducendo le probabilità che i dati del profilo finiscano nelle mani sbagliate.
L’Istat in prima linea nella ricerca e sperimentazione di tecnologie per il miglioramento della privacy
Privacy & SocietàMercoledì, 09 Febbraio 2022 16:41 Nei giorni scorsi è stato annunciato al Dubai Expo 2020 il progetto delle Nazioni Unite di un laboratorio di sperimentazione di tecnologie di miglioramento della privacy denominato “Privacy-Enhancing Technologies -PETs”. Si tratta di tecnologie che aiutano gli utenti e i fornitori di dati a condividere le informazioni in modo sicuro, utilizzando la crittografia e protocolli che consentono di produrre dati di output utili senza “vedere” i dati di input. Tra gli Istituti Nazionali di Statistica coinvolti nel progetto, oltre a Statistics Netherlands, UK National Statistical Office e Statistics Canada, c’è anche Istat rappresentato dal team composto da Mauro Bruno, Fabrizio De Fausti, Massimo De Cubellis e Monica Scannapieco, che da circa due anni nell’ambito di un importante progetto UNECE su Input Privacy Preserving Techniques sta lavorando allo studio di tecnologie e tecniche di input privacy preserving, sviluppando prototipi applicati a casi di studio della statistica ufficiale. Fonte: Istat
Se il committente esternalizza servizi senza firmare contratti che fissino le clausole privacy tutta la filiera di fornitori e subfornitori paga le sanzioni
SpecialiSabato, 11 Settembre 2021 12:34 Contratto privacy coatto. Quando si esternalizzano servizi, se il committente, fornitore e subfornitore non firmano contratti che fissino le clausole privacy, tutta la filiera paga le sanzioni amministrative, previste dal regolamento Ue n. 2016/679 (Gdpr). Come è capitato a un importante comune, alla società di gestione dei parcheggi e alla società che ha fornito parcometri di ultima generazione. Tutti e tre sono stati sanzionati dal Garante della privacy (provvedimenti n. 292, 293 e 294 del 22/7/2021), in relazione a una vicenda che aveva al centro la memorizzazione di milioni di dati, in parte trasmessi su canali digitali non sicuri. Nel corso dell’accertamento è emerso che questi smart-parcometri sono utilizzabili per pagare sanzioni e tributi o per acquistare e rinnovare abbonamenti e biglietti del trasporto pubblico, oltre che a pagare la sosta, inserendo anche il numero di targa del veicolo. Una quantità di dati enorme, potenzialmente incrociabili e, quindi, possibile fonte di accessi abusivi. Un malintenzionato avrebbe potuto controllare in maniera massiva qualunque targa, e magari conoscere le abitudini di una persona e i luoghi di sosta, senza lasciare alcuna traccia nel sistema informativo. L’esposizione dei dati, trasmessi su canali non sicuri, è certamente una grave mancanza di precauzioni nell’uso delle tecnologie, ma i provvedimenti del Garante mettono anche in evidenza che la scure del Gdpr cala in relazione a violazioni documentali. Le sanzioni della privacy, dunque, colpiscono non solo per violazioni sostanziali, cioè quando la privacy è effettivamente danneggiata, ma anche perché non si sono scritti certi documenti. E può trattarsi anche di contratti, che la cui stipulazione non è più rimessa alla libera decisione delle parti (p.a. o imprese, è lo stesso), ma diventa vincolata, a pena di sanzione pecuniaria. In questo caso, il comune non ha stipulato un contratto con la società di gestione dei parcheggi (per l’affidamento dell’incarico di responsabile di trattamento, ai sensi dell’articolo 28 Gdpr) e quest’ultima non ha fatto altrettanto con la fornitrice dei parcometri (per l’affidamento dell’incarico di sub-responsabile di trattamento). Tanto è bastato per far scattare la sanzione. Peraltro, nel caso specifico il gestore dei parcheggi aveva invano sollecitato il comune a perfezionare il contratto: ciò non è stato sufficiente a scongiurare la sanzione. Per evitare la sanzione, in caso di inerzia del committente, ci sarebbe una sola via di uscita e cioè lo scioglimento del contratto di servizio (cosa comprensibilmente comunque critica). In ogni caso, se non c’è il contratto ex articolo 28 Gdpr, il trattamento è illegittimo. Altro documento, che bisogna scrivere, è il registro dei trattamenti (articolo 30 Gdpr): se non c’è, si passa alla cassa delle sanzioni (come stabilito dai provvedimenti in commento). Con altro provvedimento (296 del 22/7/2021) il Garante ha sancito che la trasparenza amministrativa cede il passo alla privacy, quando si tratta di dati sulla condizione di disagio economico e sociale delle persone (punita una regione, che ha diffuso sul sito web i dati di più di 100 mila studenti, richiedenti borse di studio o sussidi economici per l’acquisto di libri, dotazioni tecnologiche e strumenti per la didattica). Infine, con due pareri (290 e 291 del 22/7/2021) il Garante ha dato via libera al ministero dell’interno e all’Arma dei carabinieri all’uso delle body cam per documentare situazioni critiche di ordine pubblico in occasione di eventi o manifestazioni. Con due condizioni: niente riconoscimento facciale e cancellazione dei dati dopo 6 mesi. di Antonio Ciccia Messina (Fonte: Italia Oggi dell’11 settembre 2021)
È cambiato il concetto di privacy (e forse irreversibilmente)
Il punto di vistaSabato, 25 Settembre 2021 08:43 Durante il periodo più acuto della pandemia e ancora in questi giorni si è sviluppato nel nostro Paese e nel mondo un ampio e acceso dibattito sulla possibilità di utilizzare nelle fasi post-lockdown delle app di tracciamento cioè sistemi di rete che possono identificare i contatti con possibili portatori del virus. Al di là delle problematiche giuridiche relative alla procedura di attuazione le questioni più spinose attengono al merito e si ricollegano al grande tema della tutela della privacy. Senza dubbio un diritto fondamentale dell’individuo e un pilastro del pensiero liberale che segna il discrimine tra i sistemi democratici e quelli dittatoriali, ma questo diritto è già da tempo in grande attacco (o, quantomeno, in grande evoluzione) massacrato dalla rete e dai big data. Facciamo un po’ di storia. Per decenni uno dei principali principi ispiratori delle leggi a tutela della privacy è stato lasciare il controllo ai singoli individui consentendo loro di decidere se, come e da parte di chi potevano essere processate le proprie informazioni personali. Nella prima fase dell’era di Internet questo encomiabile ideale si è trasformato nel meccanismo burocratico del “consenso informato”. Nell’era dei social e dei “big data” il consenso informato non regge più sia per l’enormità degli individui coinvolti (quasi 4 miliardi e 400 milioni connessi alla rete, dati del 2019; di cui circa un miliardo e 800 milioni solo attraverso Facebook, dati del 2021) sia perché il grosso del valore dei dati raccolti dalle piattaforme sta in utilizzi secondari che, spesso, non si potevano nemmeno immaginare al momento della raccolta dati. E’ quindi chiaro che, in questo scenario, la tutela della privacy si deve necessariamente spostare sempre più dal consenso individuale espresso nel momento della raccolta alla responsabilizzazione degli utilizzatori dei dati per quello che fanno. E che, deve essere ben chiaro, hanno sempre saputo quello che facevano (nonostante quello che Mark Zuckerberg va dicendo e scrivendo da tempo). Al riguardo, voglio ricordare le parole pronunciate qualche anno fa (nel giugno 2015, quando il tema del furto dei dati via social non era nemmeno alle viste) da Tim Cook già allora ceo di Apple (e già allora uno degli uomini più influenti al mondo) per mettere in guardia i propri clienti – ma in realtà tutti i navigatori del web – sui rischi crescenti per la loro privacy. (Nella foto: Mauro Masi, Presidente di Consap, delegato italiano alla Proprietà intellettuale) Cook, senza fare alcun nome specifico, ebbe da dire con molta chiarezza: «attenzione, alcune delle società più importanti e di successo hanno costruito il loro business cullando i clienti con false rassicurazioni sulle informazioni personali e… un giorno o l’altro i clienti le vedranno per quello che sono realmente, sarà un impatto molto duro». Quindi si può (anzi, si deve) approfondire ogni aspetto delle possibili app di tracciamento senza però dimenticare che il mondo in cui vivevamo anche prima della pandemia ha già profondamente (e, forse, irreversibilmente) cambiato il concetto di privacy individuale. di Mauro Masi (Italia Oggi del 25 settembre 2021)
Così la tua Smart tv ti traccia e viola la tua privacy
Privacy & SocietàLunedì, 27 Settembre 2021 13:11 Una ricerca svolta sui canali delle principali emittenti ha evidenziato violazioni, anche gravi, della privacy degli utenti, spesso profilati senza aver esplicitamente fornito il consenso. La maggior parte dei canali televisivi non rispetta la privacy degli utenti, in alcuni casi violando in maniera palese il Regolamento Generale per la Protezione dei Dati Personali (il GDPR) europeo, ha evidenziato una ricerca condotta dall’azienda di sicurezza informatica Sababa Security in collaborazione con l’Università di Twente e LP Avvocati. Tali violazioni coinvolgono la tecnologia Hybrid broadcast broadband TV (Hbb TV). I TV che la supportano possono proporre all’utente servizi interattivi. Per esempio, la possibilità di far ripartire dall’inizio una trasmissione o di accedere a ulteriori contenuti appartenenti ad altri canali della stessa emittente. I problemi riscontrati dalla ricerca (Ndr: già sollevati in passato da Federprivacy con l’articolo “Attenzione alla pubblicità su misura perché ora le smart tv conoscono i vostri gusti“) riguardano soprattutto la personalizzazione degli annunci pubblicitari anche senza il previo consenso esplicito dell’utente e la difficoltà di revocare tale consenso in qualunque momento. I canali studiati, inoltre, includono pixel di tracciamento trasparenti (invisibili all’occhio nudo) che controllano se l’utente sta ancora guardando il canale oppure no. Si tratta di pratiche poco trasparenti e che coinvolgono almeno il 70% dei canali studiati, secondo Alessio Aceti, amministratore delegato di Sababa Security. Come si è svolta la ricerca – La ricerca di Sababa Security si è svolta fra febbraio e maggio 2021. La società ha analizzato 16 canali italiani, tedeschi e francesi, di cui nove italiani: Rai 1, Canale 5, La7, Radio Kiss Kiss, RDS, Real Time, RTL, Spike e Sportitalia. È stato scelto un canale per ciascuna emittente: la politica sulla privacy applicata da Rai 1, per esempio, è equivalente a quella di tutti gli altri canali Rai e così via per ognuno dei principali broadcaster. L’analisi è stata effettuata in due modalità. Nel primo caso, i ricercatori si sono messi nei panni di un utente comune e quindi hanno valutato vari casi di uso reale. Per esempio, hanno provato a non accettare l’informativa e a registrare se l’emittente proponeva ugualmente pubblicità personalizzate; oppure hanno accettato l’informativa e poi hanno provato a revocare il consenso studiando le impostazioni disponibili direttamente sul TV e i siti ufficiali. Nel secondo caso, usando una TV basata su Android, i ricercatori sono andati più a fondo e, dopo aver acquisito i privilegi amministrativi del dispositivo, hanno intercettato il traffico che veniva trasmesso verso l’esterno per comprendere che tipo di dati venivano inviati e a quali indirizzi. In alcuni casi i dati erano cifrati e i ricercatori hanno svolto un’operazione di ingegneria inversa per comprendere che informazioni erano trasmesse. I risultati – I risultati della ricerca hanno dimostrato che la maggior parte dei canali mostra connessioni ad almeno un servizio di tracking prima ancora che l’utente abbia la possibilità di decidere se accettare o meno l’informativa sul trattamento dei dati. C’è di più. Oltre metà dei canali studiati sfrutta pixel di tracciamento, che permettono di tracciare il comportamento dell’utente caricando un’immagine piccolissima (un pixel per un pixel) quando l’utente visita una pagina web o apre un determinato contenuto. Nella maggior parte dei casi indagati è difficile, se non addirittura impossibile, revocare il consenso all’utilizzo di questa tecnologia. Alcuni canali si sono comportati meglio di altri, sebbene tutti abbiano mostrato lacune (in alcuni casi gravi) sul fronte della protezione dei dati personali. Sportitalia, Real Time e l’ecosistema Mediaset hanno mostrato un’attenzione maggiore, sebbene comunque incompleta, verso la privacy, ha riferito Aceti. “Alcuni sono disastrosi: manca l’informativa sulla privacy, non si può revocare il consenso o non sono onesti su quanti cookie raccolgono” commenta Aceti, che però non vuole puntare il dito contro una singola emittente perché ritiene che tali cattive pratiche siano intrinseche nell’industria, che solo da poco tempo ha dovuto fare i conti con i cookie e altre pratiche più vicine al mondo di Internet. “Non è fatto in maniera voluta” sostiene. “È la tecnologia che non è familiare per il broadcaster mentre, per esempio, Netflix nasce così, mandando i contenuti via Internet”. Una giustificazione – quella del recente approccio alla trasmissione via Internet – che però scricchiola, soprattutto perché 1) in molti casi si parla di grandi aziende e 2) alcune di queste propongono piattaforme on demand, che quindi prevedono la raccolta dei cookie e altre pratiche di gestione dei dati personali degli utenti. Grandi aziende che, però, lavorano per compartimenti stagni, fa notare Aceti: per cui, chi lavora sulla piattaforma on demand non viene messo in grado di condividere la sua esperienza con chi si occupa dell’integrazione della tecnologia Hbb TV. Al momento non è stata fatta una segnalazione al Garante per la protezione dei dati personali italiani. “Di questo aspetto se ne sta occupando l’Università di Twente” specifica Aceti. L’utente che può fare? – La situazione, insomma, è grave, soprattutto perché un TV, in qualità di dispositivo storicamente presente nelle case, fa riferimento anche agli utenti meno avvezzi ai cambiamenti del digitale e che, perciò, difficilmente conoscono i loro diritti in materia di privacy. Eppure, l’utente sembra non poter fare niente: revocare il consenso è molto difficile e tanti, probabilmente, finiscono per desistere; e non accettare può comunque portare alla profilazione. “L’unica cosa possibile oggi è non guardare la TV” ammette con amarezza Aceti. Lo scopo della ricerca di Sababa Security non è puntare il dito contro le emittenti, che sono comunque colpevoli di un’integrazione lacunosa, ma di far crescere la sensibilità degli utenti verso i dispositivi sempre più eterogenei che raccolgono dati personali. “Vogliamo spiegare che qualunque cosa digitale contiene dati e traccia il comportamento delle persone” spiega Aceti. “Volevamo sensibilizzare gli utenti sul fatto che non è solo il PC o lo smartphone a tracciare i loro comportamenti, ma sono molti di più i dispositivi che lo fanno; quindi ne va fatto un uso consapevole”. Fonte: DDay.it – di Massimiliano Di Marco
FAQ
Di seguito alcune risposte alle domande più frequenti poste dalla nuova normativa
E’ già diventato operativo da Maggio 2018 il regolamento europeo 679, approvato dalla Ue nella primavera del 2016, noto come Gdpr (General Data protection regulation). A chi si applica il regolamento?
Quali dati personali riguarda? Quali figure servono in azienda?
Cosa è il GDPR ?
È il Regolamento europeo n. 2016/679 in materia di protezione e sicurezza dei dati personali che introduce nuove regole in materia di privacy.
Il Regolamento è direttamente applicabile in tutti i 28 Stati membri dell’Unione europea.
Ogni trattamento, dalla raccolta all’elaborazione, dalla conservazione alla distruzione di un dato, indipendentemente dalle modalità con il quale venga effettuato, sarà soggetto al GDPR.
Chi si deve adeguare ?
Tutti i soggetti che compiono attività commerciali, dal libero professionista alla piccola (o piccolissima) azienda fino alla grande Azienda, che trattano dati personali attraverso processi tradizionali (cartacei) o automatizzati (personal computer). Non rientrano invece le attività a carattere personale o domestico senza connessione con un’attività commerciale o professionale.
Come si applica in azienda ?
L’attuazione del regolamento europeo sulla privacy è una azione complicata che esige una attenta analisi della struttura aziendale. Trattare in maniera approssimativa il GDPR può essere molto azzardato soprattutto per i responsabili ed il titolare.
Non trascurare la privacy e non ritenere di essere in regola quando non lo sei; innanzitutto non credere, in modo sbagliato, che tutto si riduca a qualche fascicoletto da riempire, affidati a degli esperti
Quali sono i rischi ? le Sanzioni ?
Si rischia infatti di incappare in sanzioni economiche: fino al 4% del fatturato annuale dell’azienda e fino a 20 milioni di euro. Per i casi più gravi ci sono anche conseguenze penali.
Le sanzioni saranno inflitte in modo graduale sulla base di vari fattori, come la specie, la rilevanza e la durata dell’inosservanza della non conformità. Non Rischiare invano, adeguati subito
Cosa ti offriamo ?
Un “Pacchetto GDPR chiavi in mano” – comodo ed agevole perchè pensiamo a tutto noi – è un servizio di Odisseoprivacy.com che grazie al suo gruppo di esperti qualificati offre soluzioni su misura e assistenza in ogni fase dell’adeguamento per ogni realtà (professionisti, PMI, Grandi Aziende).
Il “Pacchetto GDPR chiavi in mano” include:
- Informative indispensabili per dipendenti, clienti e fornitori;
- Lettere di nomina dei soggetti responsabili o designati al trattamento dei dati;
- Corso di formazione in azienda;
- Analisi e valutazione dei rischi e delle contromisure per annullare le minacce;
- Registro del Titolare che comprende cronologicamente tutte le attività di trattamento dei dati, delle analisi e valutazione dei rischi e delle contromisure per annullare le minacce;
- Informative sui trattamenti dei dati effettuati sul sito web aziendale e sui cookie utilizzati
- Vademecum contenente le procedure (dall’assunzione al licenziamento di un dipendente; dall’acquisto alla dismissione di hardware e software e molte altre) e le istruzioni in materia di analisi e valutazione dei rischi, delle misure di sicurezza e dell’obbligo, ove esistente, di nomina del Responsabile per la protezione dei dati (DPO)
CONTATTA LO STAFF
RICHIEDI MAGGIORI INFORMAZIONI O LA VISITA DI UN INCARICATO