Perchè adeguarsi ?IL PACCHETTO PRIVACY SU MISURA PER TE
Ti offriamo un pacchetto chiavi in mano per l’attuazione ed il mantenimento di un sistema per la conformità della tua struttura aziendale al GDPR Regolamento Europeo 2016/679. Contatta lo Staff, facciamo tutto noi!
Loading…
Consulenza gratuita
Richiedi la nostra consulenza gratuita, il nostro staff organizzerà una riunione preliminare per individuare aree critiche e stabilire gli obiettivi
Analisi e mappatura
Una prima analisi per individuare i dati ed i rischi dell'attività, con valutazione dell'impatto sulla privacy, analisi delle lacune e problematiche
Obiettivi e Roadmap
Si provvede a definire le competenze ed i ruoli con la nomina delle figure preposte, definizione delle priorità ed azioni da intraprendere per raggiungere la conformità
Attuazione GDPR
Operatività incarichi, predisposizione documentazione, registro trattamenti, check-up sicurezza, consulenza e formazione dedicata in azienda
GDPR PRIVACY MAGAZINE
TUTTE LE NEWS E GLI AGGIORNAMENTI SULLA PRIVACY IN ITALIA
Loading…
Facebook violazione subita – Garante Privacy: è illecito qualsiasi utilizzo dei dati provenienti dalla violazione subìta da Facebook
Dal Garante per la PrivacyMartedì, 06 Aprile 2021 20:03 Con riferimento ai dati di circa 36 milioni italiani, compresi in molti casi numeri telefonici e indirizzi mail, disponibili online a seguito di una violazione dei sistemi di Facebook, il Garante per la protezione dei dati personali ha chiesto al social network di rendere immediatamente disponibile un servizio che consenta a tutti gli utenti italiani di verificare se la propria numerazione telefonica o il proprio indirizzo mail siano stati interessati dalla violazione. In caso affermativo, infatti, il numero di telefono potrebbe essere utilizzato per una serie di condotte illecite, che vanno da chiamate e messaggi indesiderati sino a serie minacce come il cosiddetto “SIM swapping”, una tecnica di attacco che consente di avere accesso al numero di telefono del legittimo proprietario e violare determinate tipologie di servizi online che usano proprio il numero di telefono come sistema di autenticazione. Il Garante avverte chiunque sia entrato in possesso dei dati personali provenienti dalla violazione che il loro eventuale utilizzo, anche per fini positivi, è vietato dalla normativa in materia di privacy, essendo tali informazioni frutto di un trattamento illecito. L’Autorità richiama inoltre tutti gli utenti interessati dalla violazione alla necessità di prestare, nelle prossime settimane, particolare attenzione a eventuali anomalie connesse alla propria utenza telefonica: come, ad esempio, l’improvvisa assenza di campo in luoghi dove normalmente il cellulare ha una buona ricezione. Un tale evento potrebbe essere il segnale che un criminale si è impossessato del nostro numero di telefono per usarlo a scopo fraudolento. In questo caso è importante contattare immediatamente il call center del proprio operatore telefonico per verificare le ragioni del problema e, in particolare, per verificare che terzi, fingendosi noi, non abbiano chiesto e ottenuto un trasferimento della nostra numerazione su un’altra SIM. Il Garante richiama infine l’attenzione di tutti gli utenti sull’importanza di diffidare di eventuali messaggi di testo provenienti dal numero di telefono di persone che conosciamo, con i quali vengano chiesti soldi, aiuto o dati personali, perché potrebbe trattarsi di una truffa azionata da malintenzionati che si sono impossessati della nostra numerazione. Fonte: Garante Privacy
7. Apr 2021
Linkedin violazione dati – Allarme privacy e rischio truffe per 500 milioni di utenti di Linkedin: dati personali dei profili in vendita online su un forum di hacker
Flash NewsMartedì, 06 Aprile 2021 21:16 A pochissimi giorni dalla scoperta del massiccio furto di dati personali perpetrato ai danni di Facebook che ha coinvolto mezzo miliardo di utenti nel mondo, stavolta a fare le spese dei criminali informatici è Linkedin, il social network professionale per eccellenza usato principalmente nello sviluppo delle relazioni di lavoro. Un enorme archivio contenente dati presumibilmente trafugati da 500 milioni di profili Linkedin è stato infatti messo in vendita online, con altri 2 milioni di record esibiti come campione di prova di autenticità dall’autore del post che ne ha dato l’annuncio su un popolare forum di hacking. (Nella foto: Nicola Bernardi, presidente di Federprivacy) Dato che il numero dei profili coinvolti si avvicina alla quasi totalità degli utenti di Linkedin, che a livello mondiale conta oltre 600 milioni di iscritti, il timore adesso è che anche buona parte dei 21 milioni di utenti italiani sia coinvolto da questa maxi violazione, in cui le informazioni sottratte comprenderebbero gli username, i nominativi completi, gli indirizzi email, i numeri di telefono, il sesso, i collegamenti ad altri profili Linkedin e a quelli di altri social media, nonché i titoli professionali e le altre informazioni relative alle proprie attività che generalmente gli utenti caricano sul proprio profilo su Linkedin. Non risulterebbero invece essere stati sottratti dati di carte di credito o altre informazioni per altri strumenti di pagamento. Secondo quanto riferisce il sito di sicurezza informatica Cyber News, nel forum di hacking è possibile scaricare per soli due dollari i campioni di database messi a disposizione per verificarne il contenuto e la sua qualità, mentre per entrare invece in possesso del database integrale da mezzo miliardo di utenti pare che le cifre richieste dall’autore del maxi furto siano molto più alte e con diversi zeri, presumibilmente in bitcoin per mantenere l’anonimato. Quello che allo stato attuale non è ancora chiaro, è se gli archivi di Linkedin che sono stati messi all’asta online siano aggiornati oppure se si tratti di dati relativi a precedenti violazioni subìte in passato dal noto social media professionale. Sta di fatto che alle richieste di chiarimento inviate dagli esperti di Cyber News, al momento Linkedin non ha fornito risposta, e neppure risulta che agli utenti italiani sia ancora pervenuta una segnalazione del data breach come previsto dall’art.34 del Gdpr quando è presente un rischio elevato per i diritti e le libertà delle persone fisiche. Ad ogni modo il consiglio è che fin da subito gli utenti di Linkedin non esitino a cambiare la propria password del proprio profilo e che, se vi hanno immesso il proprio numero di telefono, prestino particolare attenzione a possibili anomalie sui propri cellulari per difendersi da possibili attacchi di “SIM swapping” che potrebbero arrivare da malintenzionati, e lo stesso vale per email di spear phishing, che per assurdo potrebbero arrivare proprio da un mittente che si spaccia sotto mentite spoglie per Linkedin, magari con una finta comunicazione di sicurezza proprio in relazione al data breach. Altre pericolose minacce riguardanti in particolare la privacy degli utenti professionali derivanti da un illecito uso dei dati contenuti negli archivi rubati, possono scaturire da furti d’identità, tecniche di social engineering, e la sempre più diffusa BEC (Business Email Compromise), ovvero quella truffa in cui il criminale invia una mail ad una segretaria o ad un responsabile amministrativo di una società fingendosi di essere l’amministratore delegato o un top manager che richiede di effettuare un bonifico urgente ad un certo fornitore, indicando però un iban su cui trasferire i fondi riconducibile ad una organizzazione criminale, stratagemma che può rivelarsi particolarmente efficace nei confronti di molti utenti di Linkedin, i quali sono soliti indicare tutti i dettagli necessari al malintenzionato, come l’azienda di appartenenza, il ruolo ricoperto, i suoi contatti di lavoro, e anche quali sono i suoi colleghi. In attesa di vedere gli sviluppi della vicenda e che l’Autorità per la protezione dei dati personali faccia luce sull’accaduto, è raccomandata quindi la massima allerta per tutti gli utenti di Linkedin, prestando molta cautela sui messaggi e sulle email che ricevono, anche quando sembrano provenire da mittenti affidabili, o addirittura da un proprio responsabile.
7. Apr 2021
Siglato il protocollo d’intesa tra il Garante Privacy e Guardia di Finanza
Dal Garante per la PrivacyMercoledì, 31 Marzo 2021 14:59 Il Comandante Generale della Guardia di Finanza, Gen. C.A. Giuseppe Zafarana, e il Presidente dell’Autorità Garante per la Protezione dei Dati Personali, Prof. Avv. Pasquale Stanzione, hanno rinnovato oggi a Roma, presso la caserma “Piave”, sede del Comando Generale del Corpo, il Protocollo d’intesa relativo alla collaborazione tra le due istituzioni. L’accordo prevede l’implementazione delle sinergie in essere finalizzate al miglioramento dell’efficacia complessiva delle attività connesse alla vigilanza sul rispetto delle norme che disciplinano la tutela dei dati personali, in virtù delle nuove attribuzioni affidate al Garante dalla normativa nazionale e comunitaria. Gli ambiti del partenariato vedono il ruolo attivo del Gruppo Privacy del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche, il quale assicura, con proiezione nazionale, gli adempimenti connessi all’attività collaborativa, anche avvalendosi dei Reparti del Corpo dislocati sul territorio e coinvolgendo le altre articolazioni del citato Nucleo per tutte quelle attività di accertamento che richiedono un’elevata specializzazione in ambito telematico. Il memorandum costituisce, dunque, uno strumento di deciso potenziamento delle linee di presidio della legalità nel mercato dei beni e dei servizi, a tutela di tutti i cittadini, in un segmento tanto importante quanto delicato, anche in ragione della potenziale vulnerabilità di dati personali e sensibili, ove non trattati secondo le vigenti disposizioni. Fonte: Garante Privacy
7. Apr 2021
Ora i dipendenti preferiscono WhatsApp alla mail: dati aziendali fuori controllo
Oltre il 70% degli impiegati utilizza app di messaggistica per condividere dati sensibili e informazioni critiche dell’azienda, e il 52% di professionisti e manager d’impresa fotografa documenti di lavoro riservati e li spedisce tramite WhatsApp, ma uno su quattro di essi (24%) sbaglia destinatario. Rapetto: “Si consegnano inconsapevolmente le chiavi dell’ufficio e in particolare quelle dei cassetti più riservati”. Bernardi:” Molte aziende hanno perso il controllo dei propri dati personali a causa delle app”. Decalogo di Federprivacy per aiutare le imprese a disciplinare l’uso di servizi aziendali di chat e messaggistica elettronica in conformità al Gdpr Firenze, 23 marzo 2021 – Quella di messaggiare tramite WhatsApp è ormai diventata una vera e propria mania, e non più solo per tenersi in contatto con gli amici e i propri cari, ma ora anche per scambiarsi ogni genere di comunicazioni di lavoro. Il 75% dei dipendenti usa infatti WhatsApp o altre app di messaggistica e software di videoconferenza online per condividere dati sensibili, e il 71% di essi confessa di usare queste applicazioni per inviare informazioni critiche dell’azienda per cui lavora. Ad evidenziarlo è uno studio di Veritas Technologies, azienda specializzata nella produzione di soluzioni tecnologiche per la protezione dei dati, che ha intervistato 12.500 colletti bianchi di quattro continenti. A completare il quadro è un sondaggio condotto da Federprivacy su un campione di circa mille professionisti e manager d’impresa italiani, dal quale è emerso che la metà degli intervistati (52%) utilizza – più o meno spesso – il proprio smartphone per fotografare documenti di lavoro riservati e spedirli tramite WhatsApp o un’altra app simile. Peccato che circa uno su quattro di essi (24%) ammetta anche che ogni tanto sbaglia destinatario, e a preoccupare maggiormente è il fatto che tra le informazioni scambiate tramite queste applicazioni vi sono password aziendali, dettagli delle carte di credito, dati dei clienti, piani strategici, informazioni bancarie e salariali, e persino risultati dei test Covid-19 dei dipendenti con relativi dettagli medici. Fiumi di informazioni confidenziali che scorrono quindi attraverso le app di micro chat che vengono preferite dal 54% degli utenti professionali perché le trovano più pratiche rispetto alla tradizionale posta elettronica, anche se in questi casi la rapidità dello strumento presta il fianco a notevoli rischi per le aziende, come avverte il Generale Umberto Rapetto: “WhatsApp diventa il Mercurio dell’Olimpo dello smart working, il fedele servitore di chi vuole sbrigarsi e non perdere tempo: gli si affidano comunicazioni delicate, gli si dà il compito di veicolare documenti di estrema criticità, gli si delega il recapito di foto e audio con i dettagli di attività che dovrebbero restare segrete, gli si consegnano inconsapevolmente le chiavi dell’ufficio e in particolare quelle dei cassetti più riservati.” (Nella foto: il Generale Umberto Rapetto) E anche se è durante la pandemia che si è riscontrato il maggior aumento dell’uso di WhatsApp e delle varie piattaforme online per motivi di lavoro, a quanto pare non siamo però di fronte a un fenomeno passeggero, perché nello studio di Veritas il 79% degli intervistati ha affermato che in futuro si troverà di nuovo ad usare tali app per condividere informazioni aziendali e dati sensibili, nonostante che quasi un terzo (30%) degli impiegati sia stato già ammonito dai propri responsabili per aver inviato dati confidenziali tramite canali vietati dalle procedure interne.“Se da una parte le aziende investono risorse e denaro per mantenere un adeguato livello di conformità generale al Gdpr, la realtà è che in molti casi esse hanno perso il controllo dei propri dati personali a causa del fatto che molti dipendenti si sono abituati a ricorrere spesso alla scorciatoia dell’app per trasmettere informazioni riservate ignorando le policy aziendali – spiega Nicola Bernardi, presidente di Federprivacy – Se le imprese non correranno presto ai ripari, sarà inevitabile assistere a una progressiva crescita di contenziosi e violazioni derivanti dall’uso irresponsabile di tali applicazioni”. (Nella foto: Nicola Bernardi, presidente di Federprivacy) Secondo il sondaggio di Federprivacy, nel 60% delle imprese intervistate esiste già una policy che disciplina le app di messaggistica, e sono previste anche sanzioni disciplinari per chi infrange le regole, ma evidentemente le misure organizzative finora adottate non sono sufficienti ad arginare il problema. Per dare un aiuto pratico alle imprese che devono disciplinare l’uso di servizi aziendali di chat e messaggistica elettronica in conformità al Gdpr, Federprivacy ha elaborato anche un decalogo messo a disposizione degli associati con la Circolare 1-2021.
26. Mar 2021
Gdpr: sanzioni da zero a cifre esorbitanti che apre le porte all’indefinito senza garanzie
Le sanzioni per violazioni della privacy arrivano fino a 20 milioni di euro. Partendo da zero. Una forbice così larga da atterrire qualunque piccola e media impresa, professionista e anche ente pubblico. È quanto discende dalla possibilità di contestare la violazione di un articolo del regolamento europeo sulla protezione dei dati n. 2016/679 (Gdpr): si tratta dell’articolo 5, dedicato ai principi generali. È una questione sottile e sa anche un po’ di trabocchetto. Il Gdpr è un elenco di obiettivi da raggiungere, di obblighi e divieti. I quali, se non raggiunti, sono puniti con sanzioni amministrative: sanzioni che sono di importo stellare. Apparentemente ci sono due fasce, ma in realtà la fascia è una sola. La prima fascia va da zero a 10 milioni euro o, se superiore, al 2% del fatturato mondiale annuo delle imprese. La seconda fascia va da zero a 20 milioni euro o, se superiore, al 4% del fatturato mondiale annuo delle imprese. La prima fascia sanziona i titolari di trattamento se non adempiono gli obblighi loro imposti. La seconda fascia sanziona le violazioni dei principi del Gdpr e dei diritti degli interessati. Tutto ciò solo in apparenza, perché l’articolo 5 Gdpr unifica tutto in una sola fascia, quella più alta, senza possibile di graduare la sanzione: la sanzione è la stessa sia per una violazione formale lievissima, sia per una violazione sostanziale gravissima. Vediamo perché. Innanzitutto la ragione sta in quello che dice l’articolo 5 citato. La norma in questione sciorina una serie di principi: liceità, correttezza e trasparenza; limitazione della finalità; minimizzazione dei dati; esattezza; limitazione della conservazione; integrità e riservatezza; responsabilizzazione. E come non essere d’accordo? Certamente chi tratta dati altrui (una Pmi, un professionista, un ente pubblico) deve essere corretto e deve stare attento a non usare dati inesatti. Il problema, però, non è declamare astratti e incontestabili principi. Il problema è che l’articolo 5 non ha solo un valore di enunciazioni di principi, ma è anche un articolo dalla cui violazione deriva l’applicazione della sanzione fino a 20 milioni/4% del fatturato. In sostanza, se uno viola la correttezza o l’esattezza o l’integrità o la riservatezza rischia una sanzione fino a 20 milioni di euro. Ma cosa significa violare la correttezza o la trasparenza o la liceità? E ci saranno tanti elenchi di risposte quante le persone che rispondono. Inevitabile, allora, riflettere sul fatto che il Gdpr non descrive in maniera esatta le azioni e le omissioni che sono sanzionate. In sostanza l’articolo 5 usa parole di significato tanto ampio, che qualche cosa che non va si può sempre trovare. Beninteso, non si intende discutere la lealtà delle autorità di controllo (amministrative e giurisdizionali), che si dà per scontata. Il problema è se sia leale la legge che scrive una norma sanzionatoria in bianco: norma che per di più è un ascensore che porta in su l’importo della sanzione. Facciamo un esempio. Per essere a posto con il Gdpr un piccolo imprenditore deve adottare le misure di sicurezza adeguate per i propri computer, server a dispositivi elettronici. Lo impone l’articolo 32 Gdpr, dalla cui violazione scaturisce una sanzione fino a 10 milioni/2% del fatturato. Però l’articolo 5 impone di trattare i dati trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali. E se non si rispetta l’articolo 5, la sanzione raddoppia (fino a 20 milioni/4% del fatturato). A questo punto non è ben chiaro quando si deve contestare l’articolo 32 e quando invece si deve contestare l’articolo 5, nella parte relativa alla sicurezza. Con la conseguenza che chi non adotta le misure di sicurezza non sa se andrà incontro alla sanzione prevista per la violazione dell’articolo 5 o dell’articolo 32 Gdpr. Questo significa, rimanendo al discorso sull’importo delle sanzioni, che per le violazioni delle misure di sicurezza la prospettiva è di subire una sanzione da zero a 20 milioni/4% del fatturato. Ora non si mette in dubbio che le sanzioni debbano essere dure e disincentivanti, ma non è vero che l’effettività della regola sostanziale deriva da sanzioni di sproporzionata quantità. È vero che la protezione dei dati deve diventare una cultura diffusa, deve diventare un modo di pensare universale, ma è anche vero che un quadro sanzionatorio sproporzionato non aiuta. Si ritiene, invece, che si debba costruire un sistema di punizioni basate su precetti chiari, se non tassativi, senza ripetizioni e sovrapposizioni e che abbia una scaletta di sanzioni adeguate alla gravità degli illeciti. Avere una sola forbice di sanzioni dal nulla a cifre esorbitanti e insopportabili da una qualunque piccola o media impresa significa aprire le porte all’indefinito senza garanzie. di Antonio Ciccia Messina (Fonte: Italia Oggi Sette del 1° marzo 2021)
4. Mar 2021
Semplificazione degli adempimenti privacy per le pmi ancora in stand-by
Per le piccole e medie imprese la semplificazione degli adempimenti privacy è ancora in stand-by. Sono ancora da scrivere le linee guida mirate per un settore vitale per l’economia italiana. Ma le Pmi dirette interessate non sono rassegnate a dover aspettare e, anzi, possono cominciare a scrivere i codici di condotta. In effetti, sia il Regolamento Ue 2016/679 (Gdpr) sulla protezione dei dati sia il Codice della privacy preannunciano regole ad hoc per imprese di minori e medie dimensioni. Peraltro, in attesa che le misure siano effettivamente adottate, le Pmi devono assolvere agli obblighi previsti dalle norme. E si tratta di norme che valgono per piccoli esercizi commerciali come per imprese multinazionali. Questo significa che le Pmi, pur non avendo gli stessi livelli di fatturato e redditività, devono realizzare gli stessi adempimenti delle grandi imprese e sono sanzionate se non osservano questi obblighi. E magari si tratta di obblighi che saranno ridimensionati da futuri provvedimenti di semplificazione. Logica vorrebbe, però, che l’obbligo o il divieto, magari in versione semplificata, sia specificato prima della contestazione di violazioni. Eppure, sulla carta, sono numerose le disposizioni di favore per le imprese medie e piccole. Vediamo quali sono. Codice della Privacy. L’articolo 154-bis del Codice della privacy affida al Garante della privacy uno speciale potere. In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, come definite dalla raccomandazione 2003/361/CE, prescrive il comma 4 dell’articolo 154-bis citato, il Garante per la protezione dei dati personali promuove, nelle linee guida di indirizzo riguardanti le misure organizzative e tecniche per singoli settori, modalità semplificate di adempimento degli obblighi per le Pmi. In materia di registri del trattamento lo stesso regolamento Ue, all’articolo 30, prevede una limitata deroga per le organizzazioni che hanno meno di 250 dipendenti (che non vale se si trattano dati sensibili e particolari). Allo stato attuale, per esempio, sul sito del Garante della privacy si possono trovare i modelli di «registro semplificato» delle attività di trattamento per le Pmi. Inoltre, si ha notizia del fatto che il Garante ha promosso un processo finalizzato allo sviluppo di uno strumento di auto-valutazione che aiuti le Pmi nell’adeguamento agli adempimenti previsti dalla normativa in materia di protezione dati. Peraltro, si è in attesa delle Linee Guida settoriali, con le specifiche per le imprese di minori dimensioni. Sanzioni. Il «considerando» n. 148 al Gdpr prevede che può essere rivolto un ammonimento anziché imposta una sanzione pecuniaria in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica. Si ritiene che la stessa misura debba essere applicata alle piccole imprese, che molto spesso coincidono con il titolare. Si prendano per esempio le imprese individuali, le quali sono imprese, ma non sono altro che l’espressione economica della persona fisica. Codici di condotta. I codici di condotta sono una specie di autoregolamentazione della privacy in un determinato settore. Il «considerando» 98 del Gdpr prevede che la stesura di codici di condotta deve essere incoraggiata, tenendo conto delle caratteristiche specifiche dei trattamenti effettuati in alcuni settori e delle esigenze specifiche delle microimprese e delle piccole e medie imprese. In particolare, tali codici di condotta potrebbero calibrare gli obblighi dei titolari del trattamento e dei responsabili del trattamento, tenuto conto del potenziale rischio del trattamento per i diritti e le libertà delle persone fisiche. La palla, qui, passa alle associazioni di categoria, chiamate a prendere l’iniziativa per arrivare a una disciplina di dettaglio condivisa. Fonte: Italia Oggi Sette
2. Mar 2021
Data breach: le istruzioni dei Garanti privacy Ue per gestire le violazioni di dati
Come procedere in caso di attacchi ransomware, di esfiltrazione di dati, di perdita o furto di dispositivi e documenti cartacei? A questa e ad altre domande rispondono le linee guida, adottate dall’Edpb (Comitato europeo per la protezione dei dati), per aiutare imprese e pubblica amministrazione ad affrontare correttamente le violazioni dei dati e definire i processi di gestione del rischio. Le ” Guidelines 01/2021 on Examples regarding Data Breach Notification“, approvate nella riunione plenaria del 14 gennaio scorso, si basano sull’analisi dei casi più significativi di violazione dei dati – affrontati dai Garanti privacy nazionali, incluso quello italiano – subiti da banche, ospedali, medie imprese, municipalità, società che offrono servizi online di vario genere. Sul documento l’Edpb ha avviato una consultazione pubblica per un periodo di sei settimane (fino al 2 marzo 2021). Le linee guida presentano, per ciascuna casistica, esempi di buone o cattive pratiche, raccomandano modalità di identificazione e valutazione dei rischi (evidenziando i fattori che meritano particolare considerazione), indicano in quali casi chi tratta i dati deve notificare la violazione all’Autorità Garante e, se necessario, informare le persone coinvolte. Tra le mancanze più frequenti ricordati dalle Linee guida vi è, ad esempio, l’omessa cifratura dei dati che consente a chi li acquisisce in maniera fraudolenta di consultare informazioni riservate. Potrebbe facilitare violazioni anche la non corretta gestione dell’autenticazione degli utenti a siti web, magari a causa dell’utilizzo di password deboli o conservate in chiaro. Nel settore bancario, potrebbe causare enormi danni l’impiego di identificativi di sessione all’interno degli indirizzi web degli utenti, informazioni che facilitano l’accesso illecito a contenuti che dovrebbero rimanere protetti. Drammatiche potrebbero essere le conseguenze di un attacco ransomware (un virus informatico che rende inservibili i dati fino al pagamento di un eventuale riscatto) ai referti e ad altri documenti dei pazienti di un ospedale, a meno che la struttura sanitaria non abbia provveduto a effettuare un backup separato dei dati. Non bisogna sottovalutare anche i problemi che può causare una semplice e-mail spedita ai destinatari sbagliati. Il testo, che integra e aggiorna gli orientamenti già forniti negli anni passati dal Gruppo “Articolo 29”, proprio per offrire un contributo concreto a imprese e Pa, analizza anche le misure adottate dai titolari del trattamento, prima di aver subito un data breach, per prevenire o attenuare i rischi di una potenziale violazione dei dati. E propone una lista di misure di prevenzione ai vari problemi rilevati. Fonte: Garante Privacy
16. Gen 2021
Il 56% degli italiani pagherebbe per avere più privacy
Privacy & Società Sabato, 20 Marzo 2021 09:07 Secondo uno studio condotto da OpenText per indagare il rapporto degli utenti con le aziende in materia di privacy dei dati, oltre la metà degli italiani (56%) sarebbe disposta a spendere di più pur di affidarsi ad aziende che offrono una maggiore protezione dei dati personali, superando così inglesi (49%), tedeschi (41%), spagnoli (36%) e francesi (17%). La ricerca evidenzia che gli italiani fanno ancora fatica a fidarsi del tutto dei metodi di gestione dei dati personali: più di 1 su 4 (26%) diffida infatti della capacità da parte delle aziende di mantenere le informazioni private e al sicuro, mentre addirittura quasi la metà (48%) ritiene che solo alcune realtà possano essere considerate davvero affidabili. Nonostante gli standard imposti dalle normative in materia di data privacy si stiano facendo sempre più rigidi in tutto il mondo – anche grazie all’introduzione nell’Unione Europea, già dal 2018, del Regolamento Generale sulla Protezione dei Dati (GDPR), la cui violazione può comportare sanzioni fino a 20 milioni di euro o fino al 4% del giro d’affari totale annuo – i dati rivelano che il percorso verso la fiducia totale da parte degli utenti è ancora lungo. In tale contesto, inoltre, il 40% degli italiani ha espresso una preferenza per i sistemi di protezione che sfruttano le tecnologie di automazione, ritenute in grado di eliminare i possibili errori umani. Quasi 1 italiano su 2 (43%) dichiara di “non avere la minima idea” di quante aziende utilizzino, archivino o abbiano accesso ai suoi dati personali, tra cui indirizzi e-mail, numeri di telefono e coordinate bancarie. Inoltre, se la maggior parte degli intervistati (69%) conferma di avere almeno una vaga conoscenza delle leggi sulla protezione della privacy, solo il 18% (meno di un quinto) si sente ben informato al riguardo, contrariamente a quanto accade in Germania (44%), Spagna (32%) e Francia (32%). Gli utenti si dimostrano, tuttavia, ben disposti a informarsi: oltre la metà (59%), infatti, afferma che potrebbe contattare un’azienda direttamente per capire come vengono trattati i dati personali o per verificare se questi vengano archiviati nel rispetto delle normative. Poco più di 1 su 10 (13%), tuttavia, lo ha già davvero fatto almeno una volta. Più di tre quarti (79%) degli italiani pensano di sapere come mantenere i propri dati privati e protetti su app, account di posta elettronica e social media, per esempio utilizzando le specifiche impostazioni sulla privacy o disattivando la geolocalizzazione. Al contrario, solo il 2% degli intervistati ritiene che mantenere i propri dati privati e protetti sia unicamente responsabilità dell’app o dell’azienda in questione. Un quinto degli italiani (20%) pensa inoltre che le aziende stiano già completamente adempiendo ai propri obblighi legali di mantenere privati i dati dei clienti, rivelando maggiore fiducia di quella riscontrata in Spagna (17%), Germania (13%) e Francia (11%). Il 40% ritiene, invece, che siano necessari ancora alcuni anni perché le aziende riescano ad adeguare pienamente la propria condotta. (Fonte: Federprivacy – Tom’s Hardware)
26. Mar 2021
Chat e messaggistica in ambito di lavoro, ecco il decalogo per la conformità al Gdpr
L’apparente facilità, ormai improprio sinonimo di velocità, di utilizzo degli apparecchi e dei servizi elettronici è un insidioso trabocchetto. Ci vuole un consapevole controllo dei mezzi e non un acritico e ingenuo affidamento a tutto ciò che la tecnica produce. L’avviso, di valenza trasversale e poco incline ad accodarsi al compiacimento generale ed aprioristico per ogni novità digital-informatica, è il buon senso della predica inutile ed è il monito che sarà ricordato solo a incidente subito. Questo è anche il senso dell’invocazione di precauzioni a riguardo delle comunicazioni elettroniche in azienda, tra dipendenti, tra personale e clienti e da fornitori ad addetti e così via. La apparente facilità/velocità di utilizzo deriva dalla sensazione di controllo diretto frutto della disponibilità nelle proprie mani di un apparecchio così piccolo, che pare contenere tutto. E più è piccolo l’apparecchio più la sensazione di potenza aumenta l’autostima e la convinzione di poter controllare ogni cosa. Ovviamente non è così, perché la dimensione dell’apparecchio vela il volume enorme e crescente dei dati che possono essere sottratti. Il rapporto inversamente proporzionale tra dimensione dell’apparecchio e quantità di dati stipabili e, quindi, scippabili o suscettibili di smarrimento o logorio o perdita è anche spinto verso i ripostigli dell’accantonamento mentale dalla pressione sociale ad essere sempre connessi, cioè sempre collocati al centro del rischio, armati di scudi di cartone. La paura di perdersi qualcosa agita le decisioni e fa sottostimare il filtro del controllo. Ma chi ha responsabilità di guida e di decisioni aziendali non può permettersi di non soppesare facilità/velocità, da una parte, e controllo, dall’altra. Il controllo, cioè la capacità di governare un apparecchio/un servizio è sempre ponderato ed è sempre più lento dell’insidia della facilità/velocità. Ma è necessario. La direzione aziendale deve, non può non porsi le domande giuste. Anche quando si tratta di mettere in sala d’attesa la velocità/facilità della messaggistica elettronica. Questo sistema è adatto? Se ci sono più sistemi, quale scegliere? L’azienda sa cosa vuole e come vuole realizzarlo? Chi usa gli apparecchi e i servizi è stato istruito a farlo? Sono state messe nero su bianco le istruzioni per l’utilizzo di apparecchi e servizi? È stato chiarito che chi sbaglia paga? Dalla base delle domande si deve passare al piano delle risposte che compongono la lista degli adempimenti, i quali limitatamente ai profili di natura amministrativa e legale costruiscono dieci pilastri: 1) atto di documentazione delle scelte, previo coinvolgimento del Dpo;2) valutazione di impatto privacy;3) garanzie contrattuali da eventuale venditore di servizi;4) trattativa sindacale/procedura amministrativa;5) sessioni di istruzione e formazione del dipendente;6) revisione dell’atto di autorizzazione al trattamento;7) revisione del manuale della sicurezza ad uso degli autorizzati;8) revisione/integrazione del registro dei trattamenti;9) aggiornamento del codice disciplinare;10) verbale di consegna/utilizzo del dispositivo e impegno al rispetto delle condizioni di uso prescritte. Anche la messaggistica elettronica aziendale ha il suo decalogo. Anche la messagistica elettronica aziendale pretende la sua accountability.
26. Mar 2021
Attacchi hacker + 12% rispetto allo scorso anno, uno su dieci sfrutta il tema Covid-19
Nell’anno della pandemia, il rapporto Clusit 2021 registra il record negativo degli attacchi informatici: a livello globale sono stati infatti 1.871 gli attacchi gravi di dominio pubblico rilevati nel corso del 2020, ovvero con un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica. In media, si tratta di 156 attacchi gravi al mese, il valore più elevato mai registrato ad oggi (erano 139 nel 2019), con il primato negativo che spetta al mese di dicembre, in cui sono stati rilevati ben 200 attacchi gravi. In termini percentuali, nel 2020 l’incremento degli attacchi cyber a livello globale è stato pari al 12% rispetto all’anno precedente; negli ultimi quattro anni il trend di crescita si è mantenuto pressoché costante, facendo segnare un aumento degli attacchi gravi del 66% rispetto al 2017. I dati sono stati illustrati alla stampa questa mattina nel corso della presentazione in anteprima della sedicesima edizione del Rapporto Clusit sulla sicurezza ICT in Italia e nel mondo : gli autori hanno tuttavia evidenziato che lo scenario riportato è certamente meno critico rispetto alla situazione effettiva, per la tendenza complessiva delle vittime a mantenere, ove possibile, riservati gli attacchi cyber subìti, soprattutto in Europa, anche a fronte del vigente Regolamento GDPR e della Direttiva NIS. Il Cybercrime è stato nel 2020 la causa dell’81% degli attacchi gravi a livello globale; le attività di Cyber Espionage costituiscono invece il 14% degli attacchi: diverse attività di questo tipo risultano correlate alle elezioni USA nella seconda metà dell’anno, con tentativi di influenzare l’opinione pubblica da parte di attori interni ed esterni. Operazioni di spionaggio sono state rilevate dagli esperti Clusit anche ai danni di molti enti di ricerca ed aziende coinvolte nello sviluppo dei vaccini contro il Covid-19. Proprio la pandemia ha caratterizzato il 2020 per andamento, modalità e distribuzione degli attacchi secondo gli esperti del Clusit: il 10% degli attacchi portati a termine a partire da fine gennaio è stato a tema Covid-19. In particolare, i cybercriminali hanno sfruttato la situazione di disagio collettivo, nonché di estrema difficoltà vissuta da alcuni settori – come quello della produzione dei presidi di sicurezza (ad esempio, delle mascherine) e della ricerca sanitaria – per colpire le proprie vittime. Diverse operazioni di spionaggio sono state compiute a danno di organizzazioni di ricerca correlate con lo sviluppo dei vaccini. Nello specifico settore della Sanità, il 55% degli attacchi a tema Covid-19 è stato perpetrato a scopo di cybercrime, ovvero per estorcere denaro; con finalità di “Espionage” e di “Information Warfare” nel 45% dei casi. Sostanzialmente stabili, invece, negli ultimi 12 mesi, gli attacchi globali appartenenti alla categoria Cyber Warfare – la guerra delle informazioni, che costituiscono il 3% del totale. Gli attacchi registrati nel 2020 sono stati classificati dagli esperti Clusit anche in base ai loro differenti livelli di impatto, sulla base di una valutazione dei danni dal punto di vista geopolitico, sociale, economico (diretto e indiretto) e di immagine. Nel 2020 gli attacchi rilevati e andati a buon fine hanno avuto nel 56% dei casi un impatto “alto” e “critico”; il 44% è stato di gravità “media”. Gli attacchi correlati a finalità di Cyber Espionage, per quanto numericamente inferiori, risultano avere una gravità più alta della media, e preoccupano per la loro continua crescita. Cyber attacchi nel 2020: chi è stato colpito e perché – Tra i settori colpiti da attacchi cyber gravi negli ultimi dodici mesi, spiccano (in ordine decrescente): “Multiple Targets”: 20% del totale. Si tratta di attacchi realizzati in parallelo verso obiettivi molteplici, spesso indifferenziati, che vengono colpiti “a tappeto” dalle organizzazioni cyber criminali, secondo una logica “industriale”. Gli attacchi verso questa categoria di obiettivi sono tuttavia in calo del 4% rispetto al 2019;Settore Governativo, Militare, Forze dell’Ordine e Intelligence, che hanno subìto il 14% degli attacchi a livello globale;Sanità, colpita dal 12% del totale degli attacchi;Ricerca/Istruzione, verso cui sono stati rivolti l’11% degli attacchiServizi Online, colpiti dal 10% degli attacchi complessivi. Sono cresciuti, inoltre, gli attacchi verso Banking & Finance (8%), Produttori di tecnologie hardware e software (5%) e Infrastrutture Critiche (4%). Gli esperti Clusit hanno inoltre registrato nel corso degli ultimi dodici mesi un incremento di attacchi veicolati tramite l’abuso della supply chain, ovvero tramite la compromissione di terze parti, il che consente poi a criminali e spie di colpire i contatti (clienti, fornitori, partner) dell’obiettivo, ampliando notevolmente il numero delle vittime e passando più facilmente inosservati. Le tecniche d’attacco – Nel 2020 gli attacchi cyber sono stati messi a segno prevalentemente utilizzando Malware (42%), tra i quali spiccano i cosiddetti Ransomware – una tipologia di malware che limita l’accesso ai dati contenuti sul dispositivo infettato, richiedendo un riscatto – utilizzati in quasi un terzo degli attacchi (29%), la cui diffusione è in significativa crescita (erano il 20% nel 2019), sia in termini assoluti che in termini di dimensioni dei bersagli e di ammontare dei danni. Seguono le “tecniche sconosciute” (in riferimento alle quali prevalgono i casi di Data Breach, per il 20%), mentre Phishing & Social Engineering continuano ad essere la causa di una buona parte degli attacchi (15% del totale); si registra inoltre negli ultimi dodici mesi una crescita degli attacchi sferrati per mezzo di vulnerabilità note (+ 10%), precedentemente in calo (-29% nel 2019 rispetto al 2018). Dove colpiscono i cybercriminali – Gli attacchi classificati dai ricercatori di Clusit si sono verificati nel 47% dei casi negli Stati Uniti; nel 22% dei casi in località multiple, a dimostrazione della capacità degli attaccanti di colpire in maniera diffusa bersagli geograficamente distanti e/o organizzazioni multinazionali. In Europa gli attacchi sono aumentati negli ultimi dodici mesi del 13%, arrivando a rappresentare il 17% degli attacchi globali. Gli eventi di in-sicurezza cyber hanno colpito per l’11% l’Asia, il 2% l’Oceania e l’1% l’Africa.
3. Mar 2021
Le clausole standard per i contratti con i responsabili del trattamento esterni
Ogni volta che un’impresa o una pubblica amministrazione o un professionista si avvalgono di un fornitore esterno bisogna firmare un contratto (o atto simile). Il fornitore esterno, con le parole del Regolamento Ue sulla privacy n. 2016/679 (Rgpd), si chiama «responsabile esterno del trattamento» e si applica l’articolo 28 del Rgpd. Il Garante italiano della privacy spiega che l’atto di designazione del responsabile del trattamento deve essere un contratto (o altro atto giuridico conforme al diritto nazionale) e deve dimostrare che il responsabile fornisce «garanzie sufficienti», quali, in particolare, la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e, in via generale, delle disposizioni contenute nel Rgpd. Il citato articolo 28 Rgpd prevede che sia la Commissione europea sia i Garanti nazionali della privacy possano elaborare schemi standard. Lo scopo dovrebbe essere dare una mano agli operatori, tenendo conto del fatto che non fare l’accordo o non farlo correttamente espone al rischio di una sanzione amministrativa pecuniaria potenzialmente molto salata (fino a 10 milioni di euro o il 2% del fatturato mondiale annuo, se superiore, per le imprese). In questo quadro si sono mossi due organismi europei: il Comitato europeo per la protezione dei dati (Edpb) e il Supervisore europeo della protezione dei dati (Edps). Edpb ed Edps hanno adottato un parere congiunto (n. 1/2021) e hanno stilato clausole standard del contratto con il responsabile esterno del trattamento. L’elaborato, a dire il vero, non aiuta un granché. Diverse espressioni sono già scritte nel testo di legge. Si tratta di una parafrasi slegata dalla concreta quotidianità delle imprese. Peraltro, ed è necessario dirlo subito, il problema in questo settore è ancora più a monte: il problema è di capire quando uno è titolare e quando uno è responsabile del trattamento. Tra l’altro si tratta di ruoli che sono presenti nelle norme già da 25 anni e stiamo a discuterne ancora oggi: prova inequivocabile che i testi di legge sono assolutamente inefficaci quanto a chiarezza. Logico, poi, che a un testo di legge fumoso seguano tentativi interpretativi non esaustivi. Non lo sono nemmeno le linee guida Edpb n. 7/2020, dedicate proprio ai concetti di titolare, contitolare e responsabile, piene di distinguo, di regole generali che valgono solo qualche volta, di eccezioni e di casistiche esasperate. Peraltro, posto che si sia risolta la questione del ruolo, allora non va dimenticata la stipula del contratto. Le clausole tipo. Inevitabile, a questo punto, analizzare le clausole tipo stilate da Edpb e Edps, nelle quali gli aspetti più spinosi sono trattati con un richiamo ad una serie di allegati. C’è un allegato per descrivere il trattamento, di cui bisogna sciorinare le finalità, la durata, gli interessati e i tipi di dati. C’è un altro allegato per dettagliare le misure tecniche e organizzative, cui deve attenersi il fornitore esterno. Questo significa che il fornitore deve avere computer, dispositivi elettronici, reti e organizzazione idonea a proteggere i dati passati dal committente. Detto così sembra semplice. La questione, invece, è di esattezza della prestazione contrattuale e di strumenti che il fornitore deve assicurare nell’esecuzione delle prestazioni contrattuali. Il rispetto della privacy è un elemento della esattezza della prestazione. Le istruzioni devono essere più stringenti per i dati particolari (regime di accesso, conservazione, finalità, misure di sicurezza aggiuntive (sistemi di autenticazione forte), formazione ad hoc per gli autorizzati. A parte il contenuto del contratto va ribadito quanto il ruolo del responsabile del trattamento sia delicato. Non solo deve eseguire la prestazione contrattuale principale, non solo deve rispettare la privacy nella sua organizzazione, ma deve anche mettere sull’avviso il suo committente se quest’ultimo non è in regola con la privacy. Poiché, però, tutto è sempre molto complicato può anche capitare che la parte forte del contratto non sia il titolare, ma il responsabile esterno: si pensi ai casi di fornitori di servizi digitali. In tutti i casi, comunque, ci vuole il contratto e le parti è bene che tengano conto delle clausole standard delle autorità europee. Fonte: Italia Oggi Sette
25. Gen 2021
Anche la mia attività deve adeguarsi ?
Dal 25 maggio 2018 è in vigore il GDPR sulla privacy, le prescrizioni riguardano i dati personali di cittadini UE. Deve quindi essere valutato se l’azienda tratta dati personali e in che misura. Ricordiamo ad esempio che alcune prescrizioni non si applicano ad aziende con meno di 250 dipendenti, se non in alcuni casi che sono ben specificati nel Regolamento. Anche un piccolo studio professionale è chiamato a rispettare il regolamento qualora tratti dati personali (clienti, lavoratori) in maniera sistematica, in relazione alla propria attività. Anche una piccola azienda con pochi dipendenti che tuttavia gestisce grosse liste di utenti (es.: clienti e-commerce, iscritti a mailing list, ecc.) è tenuta a verificare la propria compliance. Una serie di prescrizioni dipendono dall’attività svolta Ruolo importante è costituito dal tipo di dati con cui l’attività svolta entra in contatto, o dalla necessità o meno di nominare la figura del responsabile del trattamento dei dati in azienda. E’ importante quindi effettuare una valutazione del rischio di impatto del vostro trattamento dati in relazione alla loro tutela, non affidarti al caso contatta il nostro staff per un appuntamento, facciamo tutto noi !
13. Lug 2019
Il Garante Privacy
Il Garante per la protezione dei dati personali, o anche conosciuto come Garante della Privacy, rappresenta un’autorità amministrativa indipendente. Tale figura venne istituita, con Legge n° 675 del 31 dicembre 1996, anche Legge sulla privacy, con l’obiettivo di assicurare e tutelare il trattamento dei dati personali da parte di terze parti, siano esse enti pubblici o istituzioni private. La Legge 675/1996 venne successivamente abrogata e sostituita dal D. Lgs. 196/2003, Codice in materia di protezione dei dati personali o Codice della privacy, che ha mantenuto l’esistenza del Garante della Privacy Al Garante della Privacy sono assegnati specifiche competenze fra cui: ricezione e verifica di reclami e/o segnalazioni per violazioni rispondere ai ricorsi degli interessati controllo del trattamento dei dati a norma di legge; intervenire, anche d’ufficio, per porre fine a comportamenti illeciti o non corretti di dati sensibili; suggerire al Governo ed al Parlamento interventi normativi per adeguare il codice privacy all’evoluzione delle esigenze compatibilmente con le nuove tecnologie; tenere un registro dei trattamenti stabiliti. decidere su eventuali sanzioni amministrative e penali Per avere una consulenza gratuita sullo stato della Privacy nella tua attività contatta lo staff
6. Giu 2019
La Privacy e le ispezioni in azienda
Subito dopo l’entrata in vigore sono iniziati i controlli del Garante in materia di adeguamento al GDPR 679/2016 – Privacy. L’attività ispettiva condotta dalla Guardia di Finanza, inizialmente limitata a settori specifici e limitati, nei prossimi mesi sarà estesa ad ampio raggio in tutti i settori economici e produttivi, portando l’Italia allo stesso livello di altri Paesi europei. Per trovarsi pronti alle eventuali ispezioni è bene concentrarsi su alcuni punti di fondamentale importanza ed effettuare degli audit interni per verificare la compliance, dimostrare la propria accountability e mantenerla nel tempo, il titolare del trattamento deve mettere in atto un programma di monitoraggio costante dei propri sistemi di protezione dei dati. Il GDPR non è un passaggio burocratico e cartaceo una tantum, ma un cammino che accompagna l’attività giorno dopo giorno. Per avere una consulenza gratuita sullo stato della Privacy nella tua attività contatta lo staff
24. Mag 2019
FAQ
Di seguito alcune risposte alle domande più frequenti poste dalla nuova normativa
E’ già diventato operativo da Maggio 2018 il regolamento europeo 679, approvato dalla Ue nella primavera del 2016, noto come Gdpr (General Data protection regulation). A chi si applica il regolamento?
Quali dati personali riguarda? Quali figure servono in azienda?
Cosa è il GDPR ?
È il Regolamento europeo n. 2016/679 in materia di protezione e sicurezza dei dati personali che introduce nuove regole in materia di privacy.
Il Regolamento è direttamente applicabile in tutti i 28 Stati membri dell’Unione europea.
Ogni trattamento, dalla raccolta all’elaborazione, dalla conservazione alla distruzione di un dato, indipendentemente dalle modalità con il quale venga effettuato, sarà soggetto al GDPR.
Chi si deve adeguare ?
Tutti i soggetti che compiono attività commerciali, dal libero professionista alla piccola (o piccolissima) azienda fino alla grande Azienda, che trattano dati personali attraverso processi tradizionali (cartacei) o automatizzati (personal computer). Non rientrano invece le attività a carattere personale o domestico senza connessione con un’attività commerciale o professionale.
Come si applica in azienda ?
L’attuazione del regolamento europeo sulla privacy è una azione complicata che esige una attenta analisi della struttura aziendale. Trattare in maniera approssimativa il GDPR può essere molto azzardato soprattutto per i responsabili ed il titolare.
Non trascurare la privacy e non ritenere di essere in regola quando non lo sei; innanzitutto non credere, in modo sbagliato, che tutto si riduca a qualche fascicoletto da riempire, affidati a degli esperti
Quali sono i rischi ? le Sanzioni ?
Si rischia infatti di incappare in sanzioni economiche: fino al 4% del fatturato annuale dell’azienda e fino a 20 milioni di euro. Per i casi più gravi ci sono anche conseguenze penali.
Le sanzioni saranno inflitte in modo graduale sulla base di vari fattori, come la specie, la rilevanza e la durata dell’inosservanza della non conformità. Non Rischiare invano, adeguati subito
Cosa ti offriamo ?
Un “Pacchetto GDPR chiavi in mano” – comodo ed agevole perchè pensiamo a tutto noi – è un servizio di Odisseoprivacy.com che grazie al suo gruppo di esperti qualificati offre soluzioni su misura e assistenza in ogni fase dell’adeguamento per ogni realtà (professionisti, PMI, Grandi Aziende).
Il “Pacchetto GDPR chiavi in mano” include:
- Informative indispensabili per dipendenti, clienti e fornitori;
- Lettere di nomina dei soggetti responsabili o designati al trattamento dei dati;
- Corso di formazione in azienda;
- Analisi e valutazione dei rischi e delle contromisure per annullare le minacce;
- Registro del Titolare che comprende cronologicamente tutte le attività di trattamento dei dati, delle analisi e valutazione dei rischi e delle contromisure per annullare le minacce;
- Informative sui trattamenti dei dati effettuati sul sito web aziendale e sui cookie utilizzati
- Vademecum contenente le procedure (dall’assunzione al licenziamento di un dipendente; dall’acquisto alla dismissione di hardware e software e molte altre) e le istruzioni in materia di analisi e valutazione dei rischi, delle misure di sicurezza e dell’obbligo, ove esistente, di nomina del Responsabile per la protezione dei dati (DPO)
CONTATTA LO STAFF
RICHIEDI MAGGIORI INFORMAZIONI O LA VISITA DI UN INCARICATO