RISK INTELLIGENCE – Il tool per la valutazione delle vulnerabilità interne di SolarWinds MSP

26Gli MSP proattivi dovrebbero condurre valutazioni interne della vulnerabilità  per aiutare i clienti a proteggere le proprie reti dall’interno, soprattutto se sono soggette ai requisiti PCI DSS. Gli attacchi esterni e le violazioni della rete sono diventati così pubblicizzati che molte organizzazioni potrebbero trascurare l’importanza della sicurezza interna e dell’analisi dei rischi.

L’aggiunta di valutazioni di vulnerabilità interne al tuo portafoglio di prodotti ti consente di identificare dove i tuoi clienti sono più vulnerabili agli attacchi interni, portando un altro flusso di entrate nella tua azienda.

 

L’importanza della gestione delle vulnerabilità interne

A differenza delle valutazioni di vulnerabilità esterne, che si concentrano sugli aggressori esterni che tentano di penetrare in un’azienda, una valutazione di vulnerabilità interna valuta la sicurezza IT dall’interno. Esamina i modi in cui le persone che si trovano all’interno dell’azienda possono sfruttare la rete e le risorse di dati di un’azienda.

Condurre una valutazione interna della vulnerabilità consente alle aziende di porre rimedio alle vulnerabilità contro:

  • Attacchi interni intenzionali (ad esempio, da parte di dipendenti, partner scontenti, ecc.).
  • Attacchi involontari (come la cancellazione accidentale di dati sensibili).
  • Virus, malware e altri attacchi esterni che sono stati in grado di violare i confini della sicurezza della rete.

Scansione delle vulnerabilità: un’opportunità da non perdere per gli MSP

Offrire valutazioni interne della vulnerabilità può aprire un flusso di entrate redditizio per gli MSP, a condizione che scelgano la soluzione giusta. Scegli lo strumento sbagliato e gli MSP possono incontrare una strada difficile con molte vendite difficili per convincere i clienti del valore associato alla scansione delle vulnerabilità .

Certo, avere una soluzione che identifica i sistemi e i dati a rischio, chi ha accesso ad essi e quanto costerà riparare le vulnerabilità è potente. Ma avere una soluzione intelligente che non solo identifica completamente il rischio, ma lo quantifica in dollari, dimostra il valore monetario della scansione in termini di riduzione del rischio reale. Avere un aiuto così significativo rafforza la tua mano in modo incommensurabile quando si tratta di presentare ai clienti servizi di valutazione della vulnerabilità interna.

MSP Risk Intelligence di SolarWinds MSP

SolarWinds Risk Intelligence consente agli MSP di simulare l’identità di qualcuno con normali privilegi all’interno dell’infrastruttura IT di un cliente. Utilizzando quella persona, MSP Risk Intelligence cerca attivamente di esporre dati sensibili, vulnerabilità e autorizzazioni di accesso, quindi li sfrutta per violare i sistemi client e ottenere l’accesso ai dati sensibili.

Utilizzando le informazioni raccolte dalla scansione, MSP Risk Intelligence calcola, bilancia e assegna priorità al rischio finanziario dei clienti. Quindi genera un rapporto di valutazione del rischio basato sul dollaro con codice colore che mostra, fino al dollaro, la responsabilità finanziaria a carico dei sistemi del cliente. Mettendo il rischio in termini monetari, puoi convincere le principali parti interessate dell’importanza di investire nella sicurezza.

Con MSP Risk Intelligence puoi usufruire di:

  • Scansione delle vulnerabilità
  • Rapporti di intelligence sui rischi
  • Scoperta delle autorizzazioni
  • Rilevamento dei dati di pagamento
  • Scoperta di PII e PHI

Vediamo le diverse funzioni più in dettaglio:

1 – SCANSIONE DELLE VULNERABILITA’

Gli strumenti completi di scansione delle vulnerabilità di MSP Risk Intelligence aiutano a sviluppare una valutazione interna completa delle vulnerabilità. Scopri dove risiedono i buchi nelle reti client per fermare gli exploit prima che inizino.

Le scansioni sono leggere e basate su host, quindi non si verificano problemi di autorizzazioni o di consumo di molta larghezza di banda. Puoi eseguire ricerche praticamente su qualsiasi tipo di dispositivo, dai server fino ai dispositivi mobili. E grazie a una sincronizzazione notturna con il database CVSS (Common Vulnerability Scoring System), puoi essere certo di essere sempre al corrente delle minacce più recenti.

Individua i buchi di sicurezza nei tuoi sistemi

In questi giorni, gli hacker hanno più assi nella manica che mai. Che si tratti di e-mail di phishing, download drive-by o malware vecchio stile, gli aggressori malintenzionati hanno molte opzioni per provare a sfruttare la sicurezza IT di un’azienda. SolarWinds® Risk Intelligence esegue la scansione dei sistemi non solo per i dati non protetti, ma per eventuali vulnerabilità che una parte esterna potrebbe tentare di sfruttare.

Esegui potenti scansioni delle vulnerabilità

  • Scansione basata su host:  utilizza la scansione basata su host per eseguire controlli di vulnerabilità su tutti i dispositivi delle reti senza dover affrontare problemi di autorizzazione per dispositivo.
  • Scansioni leggere:  inoltre, la scansione basata su host consente di eseguire le scansioni localmente, evitando il drenaggio delle risorse di rete.
  • Scoperta delle minacce emergenti:  SolarWinds Risk Intelligence sfrutta il database CVSS (Common Vulnerability Scoring System) per scoprire le minacce più recenti. MSP Risk Intelligence si sincronizza con il database ogni notte in modo che le scansioni delle vulnerabilità catturino le minacce più recenti.
  • Ricerca tra dispositivi:  sradica potenziali vulnerabilità su reti, server, workstation, applicazioni e dispositivi mobili.

Scopri le seguenti vulnerabilità

  • Software senza patch:  SolarWinds Risk Intelligence scoprirà il software senza patch sulle reti, proteggendoti dalle minacce.
  • E-mail: SolarWinds Risk Intelligence esegue anche la scansione dei file di Outlook per individuare vulnerabilità e minacce note.
  • Vulnerabilità dei sistemi operativi Mac e Windows:  SolarWinds Risk Intelligence copre tutte le minacce malware conosciute registrate nel database CVSS e funziona su Mac, Windows e Linux.
  • Minacce dalle connessioni VPN: configura le scansioni per l’esecuzione automatica quando un dispositivo nuovo o sconosciuto si connette alla tua rete.

2 – REPORTING DI INTELLIGENCE SUI RISCHI

Con SolarWinds Risk Intelligence puoi:

  • Scoprire quante vulnerabilità ci sono e poi monitorale nel tempo, mostrando miglioramenti o riconoscendo aumenti.
  • Scoprire quali dispositivi rappresentano un rischio per l’esposizione dei dati della carta di credito e scopri quanto costerebbe una violazione.
  • Mostrare i cambiamenti nella responsabilità del rischio nel tempo per segnalare un ulteriore miglioramento

Esporta i rapporti come file CSV, PDF o Excel. Puoi persino marchiarli con il logo che preferisci.

Conosci l’impatto finanziario dei tuoi dati a rischio

In qualità di fornitore di servizi gestiti, devi dimostrare il tuo valore ai tuoi clienti. MSP Risk Intelligence rende facile mostrare agli stakeholder chiave dei clienti l’impatto finanziario dell’investimento nella sicurezza. Sia che tu abbia bisogno di un buy-in per ulteriori adozioni di servizi o semplicemente desideri dimostrare la tua efficacia,  i report di SolarWinds ® Risk Intelligence ti aiutano a dimostrare miglioramenti tangibili ai profitti e aumentare notevolmente la consapevolezza e la sicurezza dei dati. Inoltre, i rapporti possono identificare in modo proattivo qualsiasi aumento del rischio allarmante, aiutandoti a reagire rapidamente per il tuo cliente prima che si verifichi una crisi.

Mostra miglioramento

  • Dati della carta di credito: trova i tipi più comuni di numeri di carta di credito a 16 e 13 cifre nei tuoi sistemi, scopri quali dispositivi rappresentano il rischio maggiore e ottieni un importo totale in dollari a livello di organizzazione per una violazione.
  • Baseline del rischio di violazione dei dati individua tutti i dati sensibili, comprese le informazioni di identificazione personale e i tipi di file definiti personalizzati, per ottenere un numero di rischio finanziario in tutta l’organizzazione.
  • Report sulle tendenze delle vulnerabilità: visualizza le modifiche nel numero totale di vulnerabilità nel tempo in modo da poter dimostrare i miglioramenti e riconoscere qualsiasi potenziale aumento del rischio.
  • Report sull’andamento del rischio di violazione dei dati:  visualizza il cambiamento della tua potenziale responsabilità nel tempo per dimostrare un chiaro miglioramento finanziario nella posizione di rischio dei tuoi clienti.

Ottieni il pieno controllo

  • Suddivisioni per dispositivo: visualizza in dettaglio il livello di dispositivo per la maggior parte dei rapporti.
  • Esportazione: scarica i rapporti in formato PDF, CSV o Excel.
  • Rapporti personalizzabili: i rapporti possono includere qualsiasi logo caricato.

3 – SCOPERTA DELLE AUTORIZZAZIONI

Sicuramente come MSP Non vuoi che i dati finiscano nelle mani sbagliate, anche se quella persona sembra essere il dipendente di un cliente. Anche se non è dannoso, consentire l’accesso a informazioni sensibili può significare cattive notizie. MSP Risk Intelligence ti consente di trovare i problemi di autorizzazione prima che diventino un problema.

Contribuisci a garantire che solo le persone giuste possano accedere ai dati sensibili

Non è raro che i dipendenti abbiano accesso a dati non essenziali per il loro lavoro. In particolare, le piccole imprese in cui i dipendenti indossano diversi cappelli spesso non cambiano le autorizzazioni quando le persone cambiano ruolo. Questo può essere pericoloso: si consideri lo scenario di un dipendente che era solito gestire il libro paga avendo ancora accesso ai record del conto bancario mesi dopo aver cambiato reparto. Sebbene pochi dipendenti abbiano cattive intenzioni, le aziende non possono permettersi di dare troppo accesso ai dipendenti sbagliati. SolarWinds ®  Risk Intelligence esegue la scansione dei vostri sistemi alla ricerca di dati sensibili, quindi vi mostra esattamente quali utenti hanno accesso.

Scopri i problemi di autorizzazione

  • Rilevamento delle autorizzazioni inadeguato: scopri le mancate corrispondenze di autorizzazioni con scansioni approfondite di dati sensibili in modo da garantire che solo le persone giuste abbiano accesso alle informazioni giuste.
  • Diversi tipi di file: scopri chi ha accesso a file di testo importanti, fogli di calcolo, e-mail, PDF e molto altro ancora.
  • Scansioni di autorizzazioni granulari: imposta le scansioni per individuare gli utenti con autorizzazioni di lettura, scrittura, esecuzione o speciali.

Proteggiti dai seguenti scenari

  • Dati di pagamento trapelati: individua le informazioni di pagamento non protette raccolte dagli addetti alle vendite che lavorano con i clienti.
  • Perdita di informazioni sulla salute protette: proteggere le informazioni sulla salute che potrebbero essere archiviate nei file delle risorse umane.
  • Elenchi di clienti rubati:  aiuta a garantire che i dettagli dei tuoi clienti rimangano al sicuro nel caso in cui ex dipendenti tentano di rapinare i clienti.
  • Segreti commerciali compromessi: scopri le vulnerabilità che potrebbero mettere a rischio la proprietà intellettuale o i segreti commerciali.

4 – RILEVAMENTO DEI DATI DI PAGAMENTO

La conformità PCI DSS è un must per le informazioni sulla carta di credito del cliente. SolarWinds Risk Intelligence aiuta a trovare le informazioni sulle carte di pagamento in luoghi difficili da raggiungere. Cerca server, workstation e dispositivi mobili: può gestire tutti i tipi di tecnologie, sistemi operativi e tipi di file. Si occupa delle scansioni PCI DSS richieste (numero di conto principale e scansioni di vulnerabilità interne). E tutti i dati in transito e inattivi vengono crittografati con tunnel IPsec o SSL VPN.

Proteggi i dati della carta di credito e aiuta a garantire la conformità allo standard PCI DSS

Forse uno dei più grandi incubi per i tuoi clienti sarebbe perdere i dati della carta di credito del cliente. Al di là della fiducia persa per l’azienda sul mercato, un’azienda in questa posizione potrebbe affrontare azioni legali o pesanti multe per conformità. Per combattere questo, gli standard PCI DSS sono stati creati per proteggere i consumatori facendo sì che le aziende aderiscano agli standard di sicurezza durante la gestione delle transazioni. Le scansioni di SolarWinds ®  Risk Intelligence funzionano perfettamente per i clienti che operano in più sedi e hanno più dispositivi mobili in gestione.

Scansione e crittografia

  • Scansioni richieste PCI DSS: eseguire scansioni della vulnerabilità interna PCI DSS e del numero di conto primario (PAN) utilizzando un semplice modello di autenticazione a livello di host.
  • Diversi tipi di dispositivi supportati: cerca le informazioni di pagamento su server, workstation e dispositivi mobili.
  • Crittografia per dati in transito e dati inattivi : crittografa i dati trasferiti tramite tunnel IPsec o SSL VPN e proteggi i dati inattivi senza la necessità di una distribuzione completa dell’infrastruttura a chiave pubblica.

Scansione tra tipi di file e tecnologie

  • Tipi di file estesi: scansione di testo, MS Office e file compressi, nonché database, e-mail e archivi di posta elettronica e molto altro ancora.
  • Compatibilità multipiattaforma: ricerca su Windows, Mac OS X, Android e iOS.
  • Molteplici tecnologie supportate: copre Exchange, SharePoint, database, posta elettronica, archivi di posta elettronica, tecnologie di archiviazione cloud e molto altro ancora.

5- RILEVAMENTO DEI DATI PII / PHI

Come per le informazioni sulle carte di pagamento, le informazioni di identificazione personale e le informazioni sanitarie protette devono essere salvaguardate a tutti i costi. Una violazione potrebbe offuscare la reputazione del tuo cliente e la tua come MSP e portare a conseguenze potenzialmente costose a causa delle normative vigenti (esempio HIPAA). Ecco perché le nostre scansioni PII e PHI Data Discovery sono preziose.

Proteggi i dati personali sensibili dagli attacchi e ottimizza la riparazione

Le informazioni di identificazione personale (PII) o qualsiasi dato che può essere utilizzato per identificare un individuo, rappresentano un grave rischio per le aziende. Se violate, queste informazioni possono portare a cause legali e possono paralizzare la tua credibilità. MSP Risk Intelligence ti aiuta a trovare tutti i tipi di PII – indirizzi e-mail, numeri di previdenza sociale e altro – in transito e a riposo. Metterà anche una cifra in dollari/euro su ogni pezzo. SolarWinds ®  Risk Intelligence elimina le PII ovunque siano presenti, prima che siano in transito.

Aiuta anche a proteggere tutti i tipi di PHI – cartelle cliniche, informazioni assicurative, cartelle cliniche dei pazienti – per aiutarti a rimanere in conformità con le norme vigenti.

Scopri tutti i tipi di PII

  • Informazioni personali: sistemi di scansione per indirizzi e-mail, numeri di targa, conti bancari, numeri di previdenza sociale, dati ACH, numeri di carte di credito e molto altro.
  • Dati di pagamento: individua tutti i tipi di numeri di carte di credito, inclusi Visa, MasterCard, American Express, JCB, carte Maestro Diner’s Club e altro ancora.
  • Profilo di rischio finanziario ricevi una valutazione del rischio finanziario quantificato su ogni parte delle PII.
  • Dati non sicuri difficili da trovare: individua i dati sensibili sia in transito che a riposo.
  • Controlli personalizzabili: sfrutta le scansioni out-of-the-box o personalizza le scansioni in base alle esigenze della tua organizzazione.

Scelto da MSP e professionisti IT in tutto il mondo

Quando si tratta di valutazioni di vulnerabilità interne, la precisione è fondamentale. Risultati accurati garantiscono che tutte le finestre di opportunità, comprese quelle con le maggiori vulnerabilità ed esposizioni finanziarie, siano state sigillate contro possibili attacchi. Il rovescio della medaglia, i risultati imprecisi distorcono la posizione di sicurezza reale di un’azienda lasciandola esposta a minacce che sono state perse o trascurate mentre le risorse inseguono le tane dei conigli alla ricerca di vulnerabilità fasulle.

Le soluzioni MSP di SolarWinds vantano livelli di precisione senza precedenti. Ecco perchè:

  • Le soluzioni SolarWinds MSP sono considerate affidabili da oltre 12.000 aziende in tutto il mondo.
  • I clienti SolarWinds MSP eseguono oltre 260 milioni di controlli di monitoraggio remoto ogni giorno.
  • Le soluzioni MSP di SolarWinds hanno intercettato 8 miliardi di messaggi di spam nell’ultimo anno.
  • Le soluzioni MSP di SolarWinds bloccano 1 milione di minacce in quarantena ogni mese.

Sebbene questi parametri di riferimento siano impressionanti, la vera chiave del nostro successo è il modo in cui consentiamo agli MSP di portare i servizi gestiti a un livello superiore con il nostro ampio portafoglio di soluzioni IT all’avanguardia e un modello di prezzo unico.

Che si tratti di utilizzare MSP Risk Intelligence per ottenere la visione di un hacker delle vulnerabilità all’interno delle reti dei tuoi clienti dietro il loro firewall o di una qualsiasi delle nostre altre soluzioni all’avanguardia, ci dedichiamo a proteggere le reti dei tuoi clienti dall’alto verso il basso, all’interno e fuori, permettendoti di concentrarti sulla crescita della tua attività.

Iscriviti oggi stesso per una prova gratuita di MSP Risk Intelligence !

FONTE: Sito web SolarWinds MSP

Adattamento e Traduzione: N4B SRL – Distributore Autorizzato SolarWinds MSP

Read More

GDPR e Marketing: la profilazione

Quando si parla di profilazione, la prima cosa che di solito ci viene in mente è la profilazione online: cookie, social, app. Perché la maggior parte dei casi di profilazione automatizzata avviene sui siti web – attraverso i cookie di profilazione di terze parti, nelle App – pensiamo alla geolocalizzazione – e sui Social, con le tecniche di retargeting.
Ma non riguarda solo l’online. Anche nelle attività di marketing tradizionale può esserci profilazione. Per esempio, possiamo raccogliere e poi profilare dati personali usando un semplice modulo cartaceo. Quindi è importante capire cos’è la profilazione e cosa deve fare chi decide di usarla per le attività di marketing.

Cos’è la profilazione?

Per capire cos’è la profilazione, partiamo da due definizioni.
  • Una è quella dell’articolo 4, punto 4, del GDPR,
  • l’altra è presente nelle Linee guida in materia di trattamento dei dati per profilazione online del 19 marzo 2015, stilate dal Garante.

 

  • La definizione del GDPR
L’articolo 4 del Regolamento, al punto 4, dà una definizione generica e che considera solo il trattamento automatizzato dei dati, quindi non comprende i trattamenti manuali, cioè l’intervento di una persona fisica nell’attività di profilazione.
L’articolo 4 ci dice che la profilazione è qualsiasi forma di trattamento automatizzato, che ha per oggetto dati personali e che ha come scopo una valutazione su determinati aspetti personali, per analizzarli o farne delle previsioni. Sono aspetti che possono riguardare il rendimento professionale di una persona fisica, la sua situazione economica, la sua salute, i suoi gusti, interessi e i comportamenti, la sua affidabilità, la sua ubicazione e i suoi spostamenti.
Quindi è una definizione che non tocca solo il marketing, ma anche la profilazione nell’ambito dell’HR, del recruiting, nell’ambito finanziario – quando, ad esempio, facciamo analisi e previsioni sulla situazione economica di una persona fisica – e l’ambito sanitario. Se parliamo di marketing, i dati raccolti e usati per la profilazione sono quelli sulle preferenze personali e sugli interessi di una persona, sui suoi comportamenti ed i suoi gusti.
  • La definizione delle linee guida dell’Autorità Garante
Secondo questa definizione, la profilazione può essere di tre tipi:
1 – Profilazione generale, che corrisponde alla definizione data nel GDPR e che abbiamo appena visto.
2 – Profilazione come fondamento di un processo decisionale automatizzato, ma che non è unicamente automatizzato. È la situazione in cui il profilo viene creato utilizzando mezzi automatizzati, ma poi una persona prende le risultanze e le valuta. Facciamo un esempio, slegato dal marketing, ma utile per capire cosa si intende:
Peppino va in banca a chiedere un prestito. L’addetto dell’istituto di credito controlla il gestionale dove un algoritmo stila un profilo sulla base delle informazioni a disposizione.
Se Peppino ha un profilo di rischio alto, l’addetto della banca decide che è meglio non concedere il prestito. Se ha un profilo di rischio basso, glielo concede.
3 – Profilazione in cui le decisioni sono prese su un trattamento unicamente automatizzato. Qui non c’è alcun intervento umano. È l’algoritmo che decide.

Tornando al nostro esempio. Quando Peppino va in banca a chiedere un prestito, non decide l’addetto, decide l’algoritmo della banca se concederlo o meno.

Attenzione – Questo tipo di trattamento è vietato! C’è scritto nell’articolo 22 del GDPR che dice: l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
Un’altra cosa che andrebbe evitata è la profilazione dei minori. Anche se non c’è uno specifico divieto, per le attività di marketing però è bene non profilare chi ha meno di 18 anni.
Poniamo che tu decida di fare profilazione per le tue attività di marketing. Cosa devi fare?

Cosa deve fare chi fa profilazione per le sue attività di marketing

Se decidi di fare profilazione, per prima cosa devi dirlo nell’informativa, che va rilasciata prima del trattamento dei dati, quindi prima di raccogliere le informazioni personali. Ma non basta dire che fai profilazione, devi anche spiegare quale logica hai usato, le finalità e quali conseguenze ci sono.
Occhio alla minimizzazione dei dati.
Di solito, chi fa marketing ha bisogno di raccogliere più dati possibili, ma nella profilazione il trattamento deve essere minimizzato. Se non sei in grado di minimizzare i dati che raccogli, allora usa dati aggregati e anonimi per fare la profilazione.
Importante: devi chiedere il consenso! 
Serve il consenso specifico per ogni finalità. Quindi non basta il consenso per il marketing: se fai profilazione, devi chiedere il consenso per la profilazione.
Facciamo un esempio semplice e comunissimo: se la Peppino srl ha la newsletter, il consenso alla newsletter deve essere distinto da quello del modulo di contatto. Sono due finalità diverse. Lo stesso vale per la profilazione.
Poi c’è la conservazione dei dati. Per quanto tempo puoi tenere i dati profilati?
La norma ci dice che non possono essere conservati per un periodo che è superiore a quello che è lo scopo per cui li hai raccolti, dopodiché devono essere cancellati.
Bene. Ma quali sono i diritti di chi lascia i propri dati per la profilazione?

I diritti degli interessati nella profilazione

Primo fra tutti, è il diritto di opposizione, che nell’ambito del marketing non può essere mai negato. Se Peppino non vuole che i suoi dati vengano usati per finalità di marketing e profilazione, non possiamo usarli. Punto.
Gli altri diritti sono:
  • Diritto ad essere informato – Abbiamo già detto che dobbiamo dare un’informativa, in cui diciamo che facciamo profilazione e se ci sono processi decisionali automatizzati.
  • Diritto di accesso – L’utente può chiedere di vedere il profilo che è stato creato su di lui o su di lei, quindi non solo i dati personali usati, ma anche quelli che risultano dall’analisi dei suoi comportamenti.
  • Diritto alla rettifica e alla cancellazione – L’utente può chiedere che tutto il suo profilo venga cancellato e che i suoi dati vengano rettificati, e in qualsiasi momento può chiedere la limitazione della profilazione.

Attenzione alle discriminazioni

La profilazione ha un rischio, soprattutto se il processo decisionale è automatizzato o completamente automatizzato, perché può incidere in modo rilevante sulla persona fisica: discriminarla o escluderla. È l’esempio che abbiamo già fatto: Peppino non riceve un prestito perché l’algoritmo dice che non ha il profilo adatto.
E nel marketing? Una campagna di retargeting può incidere significativamente su una persona se, per esempio, sfruttiamo le sue debolezze. E questa è una tecnica vietata dall’articolo 22.
Per esempio, se Antonio ha perso il lavoro e la Peppino srl – che ha come core business il gioco d’azzardo – gli invia delle newsletter che fanno leva sulla mancanza di denaro e sulla possibilità di ottenere soldi facili, la Peppino srl sta sfruttando una debolezza di Antonio.

Ma non lo può fare, per legge.

Articolo tratto dall’intervento dell’Avvocato Francesca Bassa su RAISE Academy.
FONTE: PrivacyLab BLOG: di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL –
Adattamento: N4B SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

GDPR: Cosa deve contenere un’informativa?

Il GDPR ci dice che tutte le organizzazioni pubbliche e private hanno l’obbligo di informare i propri utenti prima di iniziare a raccogliere e compiere qualsiasi operazione con i loro dati personali. Questa informativa può essere resa per iscritto o verbalmente ma comunque sempre nel rispetto delle caratteristiche previste dal GDPR.
Bene. Per me è qualcosa di più.
Per me l’informativa è la cartina tornasole, che mi serve per capire tante cose. Perché quando la vedo, provo o ipotizzo o faccio finta di capire, come l’azienda affronta il Regolamento Europeo.

Lo so, non è bello e qualcuno fra chi legge si scandalizzerà, ma per me l’informativa sono le mutande, e guardando le aziende e gli enti in Italia ho capito che sono di tre tipi.

Senza informativa, con l’informativa inadeguata, con l’informativa di un altro

La situazione in Italia, anche dopo il GDPR, è questa.
Ci sono i naturisti – le aziende senza mutande – sono quelli che non hanno l’informativa. Non ce l’hanno perché non si sa, perché non la vogliono avere, perché loro trattano solamente dati per obblighi di legge. Loro sono nature, sono quelli che non avevano neanche le informative della 196. Nudi e crudi, a lametta!
Poi ci sono gli incoscienti: quelli che indossano le mutande come Borat usa il costume da bagno. Io li chiamo gli incoscienti, perché sono quelli che fondamentalmente hanno un’informativa, ma il dubbio di essere adeguati non gli si è posto. Loro le informative le hanno ma, ad esempio, su quella del sito web – sito normalissimo, non siti particolari, intendiamoci, che ha qualche cookie e la registrazione alla newsletter – c’è scritto che loro trattano i dati relativi alla mia vita sessuale e al mio stato di salute!
Se non ce l’hai l’informativa è male, ma anche quella inadeguata non va bene. Sia chiaro.
Per ultimi ci sono i pigri. Sono le aziende che indossano le mutande di un altro. Copiano l’informativa perché dicono “Eh, l’ha fatta la banca! Avrà pure gli avvocati la banca. Se va bene per la banca, andrà bene anche per me”. Ma acciderbolina, non è così!

Bene. Allora come deve essere l’informativa? Cosa deve contenere?

I contenuti dell’informativa sulla privacy

Gli articoli 13 e 14 del Regolamento Europeo 16/679 elencano con precisione quali contenuti vanno obbligatoriamente inclusi nell’informativa sul trattamento dei dati personali. Ecco che cosa bisogna indicare.

1) Chi è l’interessato

L’interessato è la persona fisica a cui si riferiscono i dati personali.

Esempio – Antonio firma un contratto di lavoro con un’azienda. Al momento dell’assunzione l’azienda rilascia ad Antonio un’informativa sulla privacy per spiegargli quali dati raccoglie, come li raccoglie, da chi verranno trattati. Antonio è l’interessato.

2) Chi effettua il trattamento

È il soggetto che tratterà i dati della persona fisica, cioè il titolare del trattamento e se presente, l’informativa dovrà indicare anche il suo rappresentante.

Esempio – L’azienda che ha assunto Antonio è titolare del trattamento dei dati personali e nell’informativa deve riportare il nome dell’azienda, la sede e i contatti. Se invece l’organizzazione fosse uno studio legale, per esempio, il titolare del trattamento sarebbe lo studio legale Beta in persona dell’avv. Taldeitali.

3) Se nominato, i recapiti del DPO

Il DPO (Data Protection Officer) o Responsabile della Protezione dei Dati personali (RPD) è la nuova figura introdotta dal GDPR. È un consulente tecnico e legale – interno o esterno all’azienda – che ha il compito di: informare il titolare, il responsabile e gli addetti affinché rispettino la normativa; sorvegliare responsabili e addetti per verificare che si attengano al GDPR; cooperare per fare da punto di contatto fra l’autorità di controllo e il titolare del trattamento.

Il DPO è obbligatorio? Non per tutti. Deve essere nominato obbligatoriamente dai titolari e dai responsabili del trattamento che hanno come attività principale il monitoraggio regolare e sistematico degli interessati su larga scala, che fanno trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati. Hanno questo obbligo, per esempio, le banche, le assicurazioni, le società di revisione contabile, quelle di recupero crediti, partiti e sindacati, caf, ospedali, call center… l’elenco è disponibile sul sito del Garante.

Esempio – L’azienda che ha assunto Antonio è una banca, per legge obbligata ad avere un DPO. Quindi l’informativa di Antonio deve riportare anche il nominativo e i contatti del Responsabile della Protezione dei Dati personali (RPD) nominato dall’istituto di credito.

4) Quali sono i trattamenti effettuati e perché

In questa parte dell’informativa, il titolare del trattamento spiega come e per quali finalità tratterà i dati personali dell’interessato.
Esempio – L’informativa di Antonio spiega che i suoi dati personali verranno usati dalla banca solo per l’avvio e la gestione del rapporto di lavoro, la gestione dei dati fiscali, previdenziali e assicurativi, la sicurezza sul lavoro. Poi spiega che i dati di Antonio verranno trattati con sistemi informatici e cartacei, verranno inseriti nelle scritture e nei registri obbligatori per legge e trasmessi agli istituti previdenziali e agli uffici finanziari per rispettare quanto previsto dalla legge per i datori di lavoro. Spiega anche che i dati di Antonio vengono trattati in modo da garantirne l’integrità, la riservatezza e la disponibilità.

5) Qual è la base giuridica del trattamento 

La base giuridica è la motivazione che giustifica il trattamento dei dati. Secondo il GDPR, ogni organizzazione deve necessariamente identificare le basi su cui si fondano la raccolta e il trattamento dei dati, che deve essere documentata e aggiornata, perché sia chiara. Una volta le aziende non ci facevano molto caso, ma oggi è un passaggio necessario, perché i diritti delle persone dipendono dalla base normativa scelta per trattare i loro dati.
Esempio – Nel caso di Antonio, che viene assunto dalla banca, la base giuridica è data dal contratto di lavoro e dagli obblighi di legge. Quindi, leggendo l’informativa, Antonio sa che la banca userà i suoi dati per motivi strettamente legati al rapporto di lavoro, non per finalità di marketing e per mandargli i volantini pubblicitari.

6) Quali sono i dati raccolti

I dati raccolti sono i dati personali. Un dato personale è qualsiasi informazione che riconduce ad un singolo individuo per via delle sue caratteristiche, relazioni, abitudini, stile di vita e così via. Quindi sono dati personali:
  • le informazioni identificative – nome, cognome, data e luogo di nascita, residenza, domicilio, immagini che ritraggono la persona –,
  • le informazioni che una volta venivano chiamate dati sensibili – orientamento sessuale, condizioni di salute, origine razziale ed etnica, convinzioni religiose, filosofiche, opinioni politiche, adesione a partiti, sindacati, organizzazioni di varia natura –,
  • le informazioni giudiziarie, che possono rivelare l’esistenza di provvedimenti giudiziari
  • i dati legati alle nuove tecnologie: dati relativi alle comunicazioni elettroniche telefoniche e internet – come l’indirizzo IP -, i dati che permettono di geolocalizzare una persona, quelli genetici e biometrici.
Quindi l’informativa deve indicare quali dati personali verranno raccolti: una scelta che dipende dall’attività del titolare e dal tipo di trattamento. Per esempio, l’informativa di un sito web normale – non di YouPorn.com – non tratterà dati relativi alla vita sessuale degli interessati, ma dati più normali, come quelli sulla navigazione delle pagine e l’iscrizione alla newsletter.
Esempio – I dati personali di Antonio trattati dalla banca sono quelli anagrafici, quelli familiari – se per esempio Antonio fa richiesta di assegni familiari, chiede la 104 o un congedo di paternità – e di salute: permessi per malattia, interventi chirurgici, donazioni di sangue e così via.

7) Se il trattamento comporta operazioni automatizzate, come la profilazione

La profilazione dei dati personali è la raccolta di informazioni su un individuo o un gruppo di individui per analizzarne le caratteristiche e inserirli in categorie o gruppi e poterne fare delle valutazioni o previsioni.
Se la profilazione avviene con sistemi automatizzati, la cosa si fa più delicata e l’informativa deve spiegare che i dati verranno utilizzati per questa finalità in modo chiarocompleto ed esaustivo.
Esempio – Il gestionale della banca che ha assunto Antonio ha un algoritmo che dice se i clienti possono ottenere un prestito oppure no. Quando Giulia e Peppino vanno in filiale e parlano con Antonio per chiedere un prestito, Antonio entra nel gestionale della banca, inserisce tutti i dati – età, professione (è un lavoro stabile o precario?), se hanno già dei prestiti e se sì, se sono indietro con le rate – poi l’algoritmo della banca, che si basa sulla profilazione, emette il verdetto: Giulia ha i requisiti per chiedere il prestito, Peppino no. Quindi la decisione di deliberare o meno il prestito è automatizzata e la banca deve spiegarlo chiaramente nell’informativa rilasciata a Giulia e Peppino.

8) Se i dati verranno comunicati a soggetti esterni (responsabili esterni)

L’informativa deve indicare se i dati vengono comunicati ad altri soggetti, diversi dal titolare del trattamento, cioè i responsabili esterni.

Esempio–Michela, lavora in un’azienda metalmeccanica di Albinea che si affida ad uno studio di Reggio Emilia per fare le buste paga. Lo studio paghe quindi è un responsabile esterno: non è necessario che nell’informativa compaia la ragione sociale, la sede e i contatti del consulente ma almeno l’indicazione che i  dati di Michela verranno gestiti per obblighi di legge e contrattuali da studi esterni si, fermo restando che Michela potrà sempre chiedere evidenza puntuale ed ecco che i dati dello studio paghe dovranno essere presenti sul Registro dei Trattamenti.

9) Per quanto tempo saranno conservati i dati e in che modo

L’informativa deve indicare come e per quanto tempo vengono conservati i dati: archiviati in un’agenda cartacea o con strumenti elettronici? Vengono salvati in cloud? Su un foglio Excel? E per quanto tempo vengono conservati? Il principio di privacy-by-design introdotto dal GDPR ci obbliga ad organizzare preventivamente l’intero processo di gestione dei dati, compreso quindi il modo in cui li strutturiamo e li conserviamo, per ridurre il rischio di violazioni.
Esempio – L’azienda metalmeccanica in cui lavora Michela conserva tutti i dati anagrafici dei dipendenti in un sistema di repository in Cloud. L’informativa rilasciata a Michela deve contenere in maniera sintetica anche questa informazione.

10) Se i dati saranno trasferiti in altri Paesi e come

L’informativa deve comunicare se i dati personali vengono trasmessi all’estero, cioè in Paesi che sono al di fuori dell’Unione Europea e dello spazio economico comunitario.
Esempio – L’azienda usa DropBox per poter comunicare e condividere file con i propri clienti, DropBox purtroppo i Dati li tiene su server americani, quindi nell’informativa deve essere indicato che i dati saranno trasferiti in America.

11) Quali sono i diritti dell’interessato

Il GDPR stabilisce che chi lascia i propri dati personali ha dei diritti, che vanno riportati anche nell’informativa:
  • il diritto a essere informati su come e perché vengono trattati i suoi dati
  • il diritto di accedere ai propri dati
  • il diritto di poter correggere i propri dati
  • il diritto alla cancellazione dei dati da parte del titolare e dei responsabili
  • il diritto alla portabilità dei dati, cioè chiedere che i dati vengano o trasferiti direttamente ad un’altra azienda, quando è possibile tecnicamente
  • il diritto all’obiezione, cioè di chiedere all’organizzazione che elabora i dati personali – sulla base di un proprio legittimo interesse o come parte di un’attività di interesse pubblico o per un’autorità ufficiale – di non utilizzarli
  • il diritto a non essere oggetto di scelte automatizzate, come la profilazione

Chi deve redigere l’informativa?

L’informativa deve essere redatta dai Titolari del trattamento.

Il problema di base è che se deve essere la cartina tornasole di come vengono effettuati i trattamenti all’interno dell’Azienda diventa fondamentale per ogni categoria di interessati coinvolgere le funzioni aziendali che concorrono al ballo partendo dal marketing, passando all’amministrazione arrivando al Ced.
Essere consapevoli di quali dati si hanno, perché dove e con chi, fa parte della composizione dell’informativa.
FONTE: PrivacyLab BLOG: di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL –
Adattamento: N4B SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

GDPR – Come fare telemarketing a norma

Parliamo di telemarketing, GDPR e trattamento dei dati personali. Una questione che tocca soprattutto gli operatori di telefonia, particolarmente attivi sul fronte del teleselling, ma non solo. Soprattutto oggi, in tempi di Covid, stanno nascendo tantissimi e-commerce che, è chiaro, devono essere adeguati a livello normativo – sia legale sia privacy – ma che dietro hanno anche una gestione complessa e molto spesso hanno bisogno di customer care (e quindi di telemarketing). Ne parliamo anche perché le sanzioni più elevate comminate dall’Autorità Garante sono proprio sul telemarketing o teleselling.

Il marketing con i social e gli SMS è telemarketing? No, facciamo alcune distinzioni importanti

La maggior parte delle attività di marketing fatte dalle aziende non è telemarketing, ma è marketing attraverso i social media – WhatsApp, Facebook, Telegram e così via – che rientrano tra le comunicazioni elettroniche, come SMS, fax, mail, MMS, equiparabili alle chiamate senza operatore. E poi, dall’altro lato, ci sono le chiamate con operatore verso gli abbonati: il telemarketing.
A seconda dell’attività che si fa, cambia il tipo di consenso da chiedere.

Il consenso: quando e come richiederlo

Qui la norma di riferimento è l’articolo 130 del Codice Novellato.
Il comma 1 dell’articolo 130 sulle comunicazioni automatizzate ci dice che siamo in un regime di Opt-in e quindi, se vogliamo inviare materiale pubblicitario, fare comunicazioni commerciali, fare vendita diretta o fare ricerche di mercato, dobbiamo prima chiedere il consenso dell’utente e del contraente, quindi sia alle persone fisiche che alle persone giuridiche.
E possiamo chiedere un unico consenso per tutte le comunicazioni automatizzate, anche se è sempre meglio specificare come avvengono queste comunicazioni: via SMS, WhatsApp, via mail? È meglio chiarirlo subito. Inoltre, questo consenso può essere esteso anche all’invio di materiale pubblicitario, alle comunicazioni commerciali per posta cartacea e attraverso le telefonate con operatore.
Ma non vale il contrario.
Quindi, per le comunicazioni automatizzate serve sempre il consenso preventivo, mentre per le chiamate tramite operatore il regime è di Opt-out perché quando il nome, il cognome, il numero di telefono e l’indirizzo postale di una persona sono su un elenco cartaceo ed elettronico disponibile al pubblico – ad esempio gli elenchi telefonici – possiamo contattarla per fare delle chiamate telefoniche, a meno che quel numero o quell’indirizzo non siano inseriti nel Registro delle Opposizioni. Per cui, se Peppino si stufa di ricevere telefonate promozionali, deve iscriversi al Registro delle Opposizioni.
Hai un’azienda e vuoi fare telemarketing?
Ecco come funziona.

Come fare telemarketing a norma

Il Registro delle Opposizioni è stato istituito nel 2010 con un Decreto della Presidenza della Repubblica per dare la possibilità di fare marketing tramite chiamate con operatore o con la posta cartacea alle persone che non si sono opposte.
Quindi, se hai un’azienda e vuoi fare telemarketing – chiamate telefoniche con operatore –, devi prima registrarti nel Registro delle Opposizioni, pagare una tariffa e poi dare la lista dei tuoi contatti alla Fondazione Ugo Bordoni che gestisce il Registro. Gli addetti della Fondazione poi fanno una scrematura ed eliminano dalla lista le persone che si sono opposte all’uso del loro indirizzo o del numero di telefono per le attività di telemarketing. Una volta ricevuta la lista sfoltita, hai un lasso di tempo preciso in cui fare la campagna di marketing, che è di 15 giorni per le campagne telefoniche e di 30 giorni per quelle per posta cartacea.
Per cui se la Peppino srl vuole contattare Antonio per fare telemarketing e il numero di Antonio è inserito in un elenco telefonico pubblico, può farlo; se invece è inserito nel Registro delle Opposizioni, non lo può fare.
Il divieto è assoluto?
No. Il divieto vale per gli elenchi pubblici, ma se la Peppino srl ha una newsletter – per cui è previsto un consenso specifico, ovviamente – e Antonio si iscrive, la Peppino srl per la sola finalità della newsletter, può inviare comunicazioni ad Antonio, anche se è inserito nel Registro delle Opposizioni.

L’informativa: cosa deve contenere

Hai deciso di fare telemarketing? Hai due valutazioni da fare.
Prima valutazione: se contatti la persona per la prima volta, devi dare l’informativa in forma semplificata, eventualmente rinviando ad un sito internet. E devi verificare che il numero di telefono non rientri nel registro delle opposizioni.
Seconda valutazione: anche se hai già dato l’informativa, devi mettere a conoscenza l’utente dei suoi diritti di opposizione, informarlo che esiste il Registro delle Opposizioni e spiegargli perché e come viene fatta la raccolta dei suoi dati. Per esempio, se il call center a cui ti appoggi è al di fuori dell’UE, devi dirlo a chi riceve la chiamata e dargli anche la possibilità di avere il servizio attraverso un operatore dell’Unione Europea.

Articolo tratto dall’intervento dell’Avvocato Francesca Bassa su RAISE Academy.

Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l’Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
FONTE: PrivacyLab BLOG: di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL –
Adattamento: N4B SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

GDPR – La verifica del registro dei trattamenti

La prima cosa che il Nucleo Speciale della Guardia di Finanza chiede quando fa una visita ispettiva è il registro dei trattamenti. È una richiesta che fa sia quando controlla il titolare del trattamento che il responsabile esterno. E non accetta ritardi!
Il registro dei trattamenti è alla base del principio di accountability, che vuol dire responsabilità piena e rendicontazione obbligatoria. Perché il titolare deve essere in grado di dimostrare e di documentare di aver fatto il trattamento in conformità del Regolamento. E lo fa attraverso il registro. Una volta c’erano le misure minime di sicurezza. Ma oggi non è più così: ogni titolare deve implementare delle misure adeguate ed è sua la responsabilità.

Cos’è il registro dei trattamenti e cosa contiene

Il registro dei trattamenti è uno strumento che consente di tracciare e monitorare le attività di trattamento dei dati personali fatta dal titolare o dal responsabile del trattamento, sotto la propria responsabilità. Può essere elaborato in forma cartacea o in forma elettronica e deve essere messo a disposizione dell’Autorità Garante, nel caso lo richieda.
Deve mappare non solo i trattamenti elettronici, ma anche quelli cartacei, contenere le misure di sicurezza e indicare i dati personali trattati. Quali?
Solo quelli che servono effettivamente per portare avanti l’attività.
Non ha senso chiedere a Peppino se è laureato, sposato, se ha figli e cosa fanno.
Anche perché se si acquisiscono ulteriori dati rispetto alle finalità, la sanzione è fino a 20 milioni di euro!
Le informazioni minime da inserire nel registro sono:
  • Le finalità del trattamento, cioè il motivo per cui raccogli i dati personali. Per fare pubblicità? Per fare altro? Per cosa?
  • Le categorie di dati trattati (dati personali comuni, particolari, di credito e così via).
  • Le categorie di interessati, cioè delle persone fisiche: sono dipendenti, clienti, prospect?
  • tempi di conservazione: per quanto tempo tratti quei dati?
  • Le misure di sicurezza: quali soluzioni fisiche, tecnologiche ed organizzative hai adottato per garantire la protezione dei dati? Esempio. Oggi tutti accedono a tutto: non va bene. Perché poi può succedere quello è che accaduto di recente con la TIM – un caso che è uscito su tutti i giornali – in cui si è scoperto che alcuni dipendenti infedeli sono entrati nel database con le loro password e hanno scaricato centinaia di migliaia di dati personali dei clienti per rivenderli ad altre società. Se mi occupo dei clienti, devo accedere solo ai dati dei clienti. Se mi occupo dei fornitori, devo accedere solo ai dati dei fornitori. Se mi occupo di geolocalizzazione, accedo solo a quei dati. Ai dati dei dipendenti devono accedere solo i dipendenti dell’HR. Ognuno accede ai dati che gli servono per la sua attività lavorativa. E la Guardia di Finanza ci guarda!
  • trasferimenti: i destinatari (persone fisiche o giuridiche) a cui saranno comunicati i dati e il Paese di destinazione. Devi sapere a chi hai comunicato i dati di Peppino, Antonio e Giulia.
  • dati di DPO e Cotitolari
Quando viene fatto un controllo, il Nucleo speciale guarda tutti questi dati e li incrocia.

Registro, informativa, sistemi informatici: tutto deve essere allineato

Nell’informativa, cosa hai messo? Corrisponde a quello che hai inserito nel registro e a come gestisci poi i dati?
Poniamo che tu faccia un’informativa corretta. Dove chiedi il consenso al trattamento per ogni finalità – profilazione, trasferimento dei dati all’estero, trasferimento dei dati fuori dall’UE – poi vai a vedere il registro dei trattamenti e vedi che l’unica finalità indicata è il marketing.
È inconcepibile. Tutto deve essere coerente.
Tutti i documenti devono essere coerenti: quello che risulta nell’informativa deve essere presente anche nel registro dei trattamenti.
Se nell’informativa dici che i tempi di conservazione per le attività di marketing sono di 2 anni e per quelli di profilazione sono di 1 anno, lo stesso deve risultare nel registro dei trattamenti.
E questo è il primo match.
Poi i dati riportati nell’informativa e nel registro dei trattamenti, devono corrispondere anche alle implementazioni sulle banche dati. Quindi, se nell’informativa e nel registro dici che conservi i dati per 2 anni per le finalità di marketing e per 1 anno per la profilazione, non è possibile che poi sui sistemi li conservi per periodi diversi.
E queste cose la Guardia di Finanza le va a guardare.

Il registro dei trattamenti deve essere aggiornato, altrimenti non è adeguato

È fondamentale che il registro dei trattamenti sia aggiornato. Perché è fondamentale? Perché, se un interessato chiede a te, titolare del trattamento, di cancellare un dato – anche se ovviamente ci sono dei limiti alle sue richieste: non può chiederti di cancellare una fattura, per esempio – tu devi sapere dov’è quel dato e a chi l’hai dato. L’hai dato ad un partner? L’hai dato al responsabile esterno? Se non hai un registro dei trattamenti, come fai a sapere a quali partner e a quali responsabili esterni l’hai dato?
Oppure, hai acquisito il consenso alla cessione dei dati personali: devi sapere a chi li hai ceduti, altrimenti il diritto dell’interessato che ti ha lasciato il dato non può essere esercitato.
Il registro deve essere una mappatura aggiornata dei trattamenti.
Non basta istituirlo e poi lasciarlo lì.
Magari il 25 maggio del 2018 hai istituito il registro, poi l’hai lasciato perdere e non l’hai più aggiornato. Ma in 2 anni dall’entrata in vigore del Regolamento, che cosa hai fatto? Magari hai ampliato il trattamento. Se prima facevi solo marketing, adesso forse fai la profilazione.
Questa attività la devi riportare nel registro dei trattamenti.
Forse hai chiesto il consenso per la comunicazione di dati a terzi, anche questo va inserito nel registro. Oppure hai deciso di cambiare tutti i collaboratori esterni, tutti i partner, di affidare la gestione e le banche dati ad altri soggetti.
Tutto questo deve essere riportato nel registro dei trattamenti. Quindi è uno degli strumenti che non dico che deve essere aggiornato giornalmente, ma più o meno ci siamo. In qualsiasi momento, quando apri il registro dei trattamenti, devi avere una visione immediata dell’attività.
Se non è aggiornato, non è adeguato e quindi sei comunque sanzionabile.

Può essere cartaceo o in digitale, l’importante è che sia immediatamente consultabile

Il Regolamento non prevede particolari formati, quindi il titolare può scegliere liberamente se usare un foglio cartaceo, un foglio Excel, un documento elettronico, un software o altro per redigerlo e aggiornarlo. L’importante è che dia una visione immediata dei trattamenti che vengono fatti. E allora qui anche la scelta del formato ha le sue conseguenze.

Prendiamo il caso di una grossa società che tiene il registro dei trattamenti su dei fogli. Se la società aggiorna regolarmente il registro, il documento può arrivare anche a centinaia di pagine.
Come può dare una visione immediata dei trattamenti, di chi vede quei dati, di quali sono le misure di sicurezza adottate? È vero che il cartaceo è previsto, ma poi quello strumento deve essere consultato anche piuttosto velocemente. Non si possono perdere dei giorni solo per vedere chi sono i clienti e i partner.
E poi come si fa a garantire i diritti dell’interessato?
Se Peppino vuole sapere come tratti i suoi dati e a chi li hai dati, non puoi metterci dei giorni per reperire le informazioni. La legge ti dà 30 giorni per l’esercizio dei diritti e solo nei casi più gravi, che devi motivare, puoi utilizzare ulteriori 30 giorni. Ma se Peppino ti fa una richiesta d’accesso, gli devi rispondere immediatamente. Anche perché, se non rispondi, fa un reclamo all’Autorità Garante. Poi non è che l’Autorità ti scrive e ti obbliga a dare i dati che Peppino ti ha richiesto e non ti dà la sanzione.
Ti dà la sanzione eccome!
Per il semplice fatto di non aver garantito il diritto d’accesso, sei sanzionabile con la sanzione più alta, che è quella fino a 20 milioni di euro. Perché tutta la parte del GDPR che riguarda l’informativa e l’esercizio dei diritti, se non viene rispettata, rientra nella massima sanzione.
Quindi il registro dei trattamenti deve essere sempre aggiornato e di immediata consultazione. Se hai una piccola attività con un solo dipendente, puoi anche tenere un registro cartaceo. Diverso è il caso di un’azienda più grande, che di trattamenti ne fa moltissimi.

Chi è obbligato a istituire il registro dei trattamenti?

Tutti i titolari e responsabili con meno di 250 dipendenti, ma solo se non fanno trattamenti di rischio. Che cosa vuol dire? Vuol dire che possono essere rischiosi per i diritti e le libertà dell’interessato, che il trattamento non sia occasionale o che non riguardi dati particolari (ex sensibili). Quindi, sostanzialmente, sono tenuti all’obbligo di redazione del registro esercizi commerciali, esercizi pubblici o artigiani che hanno almeno un dipendente – bar, ristoranti, officine, negozi e così via – o che trattano dati sanitari dei clienti: parrucchieri, estetisti, ottici, odontotecnici, tatuatori. Ma anche i liberi professionisti con almeno un dipendente o che trattano dati sanitari o relativi a condanne penali o reati: commercialisti, avvocati, medici in generale, fisioterapisti, farmacisti, osteopati e così via. Sono obbligati anche associazioni, fondazioni, comitati che trattano dati particolari – associazioni che tutelano malati, persone con disabilità, associazioni sportive, partiti, sindacati e così via – e anche i condomini che trattano categorie particolari di dati, per esempio in caso di delibere per l’abbattimento di barriere architettoniche.

I soggetti con meno di 250 dipendenti possono optare per la forma semplificata di registro. Per esempio, un negozio che ha un solo dipendente, può tenere il registro solo per il trattamento dei dati di quel dipendente. Però il Garante consiglia di compilare il registro completo.

In generale, il Garante raccomanda la redazione del registro – in forma completa – a tutti i titolari e responsabili del trattamento.

Articolo tratto dall’intervento del Dottor Giuseppe Giuliano, Funzionario del Dipartimento Attività Ispettive del Garante per la protezione dei dati, su RAISE Academy
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l’Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
FONTE: PrivacyLab BLOG: di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL –
Adattamento: N4B SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

GDPR – Standard Security Clauses (SSC): cosa sono

Quando parliamo di Standard Security Clauses (SSC) o clausole standard di sicurezza, stiamo parlando nell’ambito del trasferimento di dati personali all’estero, che è consentito solo se i dati vengono spostati effettivamente in condizioni di sicurezza, altrimenti non si può fare.
Ma cosa si intende per estero? dobbiamo riferirci ai confini nazionali Italiani o quelli dell’Unione Europea?
Il quadro di riferimento è quello del GDPR, quindi per estero intendiamo il trasferimento di dati personali verso i Paesi che non appartengono allo Spazio Economico Europeo, cioè quelli che non rientrano nell’area che comprende i Paesi dell’UE + Norvegia, Liechtenstein e Islanda, o verso un’organizzazione internazionale.
Prima di capire cosa sono le clausole standard di sicurezza e perché è importante conoscerle – soprattutto quando si sceglie un responsabile esterno – dobbiamo chiarire una differenza importante: il trasferimento dei dati all’estero non è un trasferimento transfrontaliero dei dati.

Trasferimento dei dati all’estero VS trasferimento transfrontaliero dei dati: quali sono le differenze

Il trasferimento transfrontaliero dei dati riguarda solo un trasferimento all’interno dell’Unione europea.
Quindi, passare un dato personale dal Piemonte a Parigi è come passare il dato dal Piemonte alla Lombardia, non cambia nulla. Infatti, essendo tutti parte dell’Unione Europea, gli Stati sono reputati adeguati, perché il GDPR vale in tutti i Paesi membri dell’UE, anche se non è detto che venga applicato con lo stesso rigore nei vari paesi.

Invece, se il dato viene trasferito al di fuori dell’Unione Europea, le cose si complicano e si entra nell’ambito del trasferimento di dati all’estero.

Trasferimento dei dati all’estero: la White List dei Paesi adeguati

Il primo aspetto da considerare è quanto riportato dall’articolo 45 del GDPR che recita che i trasferimenti di dati personali verso Paesi che non appartengono allo Spazio Economico Europeo o verso un’organizzazione internazionale sono consentiti, a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta, tramite decisione della Commissione europea.
Quindi la Commissione decide quali Stati garantiscono un livello di protezione adeguato e poi monitora periodicamente – almeno ogni 4 anni – se è ancora così.

Quali sono i criteri in base ai quali l’Unione Europea decide se un Paese estero è adeguato o meno? Le decisoni vengono prese sulla base:

  • delle norme in materia di privacy che ha adottato,
  • degli impegni internazionali che ha sottoscritto,
  • di come vengono applicate e rispettate queste norme.

Se il Paese risulta adeguato, la Commissione lo inserisce nella sua White List, che in questo momento comprende solo 15 Paesi e territori. Ma la White List non è immodificabile nel tempo.

Per esempio, adesso in lista c’è l’Argentina. Se durante la valutazione o successivamente dovessero succedere accadimenti che non permettano l’adeguatezza del paese, la Commissione europea può tranquillamente e immediatamente sospendere la decisione di adeguatezza o addirittura arrivare a revocarla.
E per i Paesi che non rientrano nella White List?
Il trasferimento è consentito se il titolare o il responsabile del trattamento forniscono garanzie adeguate, per loro è un OBBLIGO tutelare i diritti dell’interessato e devono anche spiegargli perché li hanno trasferiti lì, su quale base e dargli la possibilità di far valere i suoi diritti.
In molti paesi esclusi dalla White List le Autorità del Paese estero in cui abbiamo fatto il trasferimento spesso non sono disposte a collaborare in caso di un Data Breach, per cui bisogna fare molta attenzione.

Paesi fuori dalla White List e Standard Security Clauses

Se un Paese è fuori dallo Spazio Economico Europeo e fuori dalla White List, il trasferimento di dati è consentito, ma a condizione che il titolare o il responsabile del trattamento dia delle garanzie adeguate. Garanzie che possono essere di diverso tipo.
Una delle possibilità sono le Standard Security Clauses, cioè delle clausole contrattuali, incluse nel contratto relativo al trasferimento dei dati, in cui le parti si impegnano a garantire che le informazioni personali saranno trattate secondo i princìpi del GDPR, anche nel Paese estero in cui vengono trasferite.
Ecco il link al Sito del Garante per la protezione dei dati personali per la definizione dei trasferimenti dei dati all’estero (CLICCA QUI)
Articolo tratto dall’intervento del Dottor Gianrico Gambino su RAISE Academy.
Questo era solo un assaggio!
FONTE: PrivacyLab BLOG: di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL –
Adattamento: N4B SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

GDPR – Obiettivo: come fare (bene) il DPO

Il DPO è una figura centrale all’interno del nuovo impianto della privacy, inaugurato con l’entrata in vigore del GDPR.

Per questo, la formazione per questo ruolo è particolarmente importante. Corsi e master non mancano, ma forse manca la qualità: la maggior parte dei corsi spesso non riesce a calare la teoria in modelli pratici da seguire nel lavoro giornaliero di un DPO.

La legge ci dice che il DPO deve:

  • informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che trattano i dati personali;
  • sorvegliare l’osservanza della normativa comunitaria e nazionale nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento riguardanti anche “l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  • cooperare con l’autorità Garante nazionale;
  • fungere da punto di contatto per l’autorità Garante nazionale per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.

Si capisce bene che l’ambito di lavoro è veramente vastissimo ed il tutto è confermato dall’Autorità Garante: ”il DPO deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il Titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare”. Garante dixit.

DPO: i requisiti (Ovvero cosa deve sapere)

Quindi quali SKILLS (oggi è di moda chiamarle così) devo avere? Quali corsi mi conviene frequentare?

Una prima considerazione da fare è sottolineare un aspetto che sembra sfuggire a molti, in relazione alla professionalità che il DPO deve possedere: a seguito della nomina ricevuta come DPO, infatti, molti ritengono di poter integrare le proprie competenze attraverso seminari, corsi, letture, ecc., ricercando patacchine e certificatucoli che poco hanno a che vedere con la capacità effettiva di riuscire a gestire ambiti complessi.

Se il vostro obiettivo è la PATACCA, ci sono decine di corsi di formazione e seminari per ottenerla.

Se il vostro percorso di formazione sta invece iniziando adesso, le prime conoscenze che vi servono partono dall’integrazione dei vocabolari.

Cosa intendo come Vocabolario? Intendo quell’insieme di definizioni, di metodi e di interpretazioni che sono alla base di questa professione in tutti e tre gli ambiti su cui il DPO opera (Legale, Tecnologico ed Organizzativo). Significa avere una solida padronanza almeno teorica di tutti gli argomenti ed aver quindi consolidato un metodo efficente per ricercare e valutare le fonti corrette ed efficaci.

ATTENZIONE: googolare “cosa significa accountability” oppure “l’antivirus è una misura obbligatoria per il GDPR?” NON è un metodo efficace.

Quindi a partire dalle competenze che avete, serve una formazione che integri le basi mancanti e vi dia la possibilità di capire cosa è giusto e cosa non lo è e vi permetta di valutare le fonti.

Conoscere i “vocabolari”, serve per poter disimpegnare i complessi compiti devoluti a questa figura, nella maggior parte dei casi occorre la presenza di diversi approfonditi saperi specialistici riferiti non solo al settore giuridico ma anche organizzativo, manageriale e tecnologico.

Verifica chi ti sta formando: è un DPO? Da quale ambito proviene?

La scelta di dove formarsi sui vocabolari deve basarsi sulla esperienza effettiva di chi sta erogando il corso.
Il docente è FONDAMENTALE. E’ un legale? Un informatico? Bene, ma non basta. E’ DPO? Dove? Fa formazione in Aula da quanto?

Queste domande sono fondamentali per definire se il Docente è in grado di trasferirci un vocabolario corretto, adeguato e non una rilettura a slide più o meno sistematica della legge o della tecnica.

Non serve a nessuno sapere tecnicamente come fare un HASH di un FILE, né che l’art 32 del GDPR ci dice questo e quell’altro (a leggere siamo capaci tutti, si spera!), ma serve avere approfondimenti operativi su come valutare l’aderenza di certe misure all’art 32 ad esempio.

Ci serve sapere quali sono i modi d’uso di una pec, cosa si intende per Accountability e come da DPO possiamo verificarla.

Una volta che padroneggiate i vocabolari nei tre ambiti, Legale, Tecnologico ed Organizzativo, è venuto il momento di cominciare a fare sul serio.

Come posso accrescere la mia competenza?

Ecco quindi che i corsi che ci possono servire debbono essere quelli con una fortissima impronta operativa, quelli che hanno workshop interattivi che ci mettono alla prova con casi pratici, quelli che ci portano esempi pratici di verifica, di ispezioni ricevute, di comportamenti da tenere, da attenzionare, di come sminare e gestire aspettative spesso non corrette dell’azienda che vede il DPO come il tuttofare della Compliance GDPR dell’azienda, quando è più un controllore di buone prassi.

In soldoni la formazione:

  • deve farci crescere nell’operatività da DPO, ci deve fornire una serie di domande con le risposte incluse e una metodologia semplice, chiara e basata su una reale esperienza per riuscire a rispondere alle domande di cui ancora non abbiamo risposta.
  • deve sempre avere una parte di workshop per permetterci il confronto con altri DPO con il docente. Ci deve essere la possibilità di simulare e di accedere ad un Know How che deve essere condiviso dal docente.
  • ci deve aiutare a creare la nostra cheklist e ci deve aiutare a identificare gli strumenti che permettono di lavorare in efficienza.

Corsi per DPO: RAISE ACADEMY scopri la proposta formativa di PrivacyLab

RAISE ACADEMY è la nuova proposta formativa di PrivacyLab, un modello di formazione efficace che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

Questi sono i macro-moduli che troverete all’interno della RAISE Academy:
1 – Video-guide e corsi in e-learning 
Le video-guide sono sugli strumenti – testiamo Iubenda, testiamo OneTrust, testiamo Zoom e altri strumenti che gestiscono o che servono per la gestione del trattamento dei dati personali – e sono guide sulle tecnologie. Vanno dai 5 ai 25 minuti.
2 – Diretta settimanale
È il nuovo format di approfondimento in tavola rotonda che vede 2 esperti del settore, guidati da un moderatore, che discutono di un tema. 40 minuti live con question time.
3 – Esami di certificazione ed attestati
Esami per DPO, consulenti certificati e consulenti privacy.
Attestati di presenza e di superamento del corso.
4 – Pillole di GDPR
3 minuti di micro-approfondimenti sulle tematiche emerse in settimana su GDPR, cybersecurity e consulenza.
5 – 50 sfumature di GDPR
Sono delle interviste a personaggi ed esperti nazionali: professionisti che subiscono la privacy e professionisti che devono gestire la privacy
6 – 3 Bootcamp 
Sono 2 eventi all’anno più 1 PRIVACYLAB DAY.

REGISTRATI E SCOPRI RAISE ACADEMY – https://www.raiseacademy.it/

FONTE: PrivacyLab BLOG – contributo di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Read More

GDPR – Phishing: cos’è, come riconoscerlo e come evitarlo

Hai ricevuto una mail dove ti chiedono i dati bancari, i dati della tua carta di credito o una password? Parliamo di mail apparentemente normali, che arrivano dalla banca, dall’Agenzia delle Entrate, dalle Poste o da un Social Network, per fare alcuni esempi. Oppure hai ricevuto un SMS con un link dal tuo istituto di credito con la richiesta di aggiornare i dati? Non fidarti! Potresti essere vittima di una truffa: un attacco di phishing. Vediamo cos’è il phishing, come riconoscerlo e come evitarlo.

Cos’è il phishing

Il phishing è un tipo di truffa online in cui un malintenzionato invia messaggi ingannevoli a delle vittime – noi, tu, chiunque – per convincerle a rivelare dati personali come il numero della carta di credito, le password di accesso all’home banking o al Cassetto Fiscale e così via, passandosi per un ente o un’azienda affidabile. Può fingersi l’Agenzia delle Entrate, l’istituto bancario in cui hai (o avevi) il conto corrente, le Poste, Facebook, Twitter, insomma un’organizzazione di cui ti fidi.
Perché lo fa? Per rubarti l’identità.
Si finge te e poi compra prodotti e servizi a nome tuo, sottoscrive contratti, agisce spacciandosi per te, a tua completa insaputa. Fino a che non ti trovi con il conto corrente a zero, con la carta di credito prosciugata, con l’account Facebook clonato e altre situazioni poco simpatiche.
Come fa? Di solito agisce in 3 modi:

1) Invio massiccio di mail fasulle

Prepara una mail fasulla, ma che sembra assolutamente autentica a quella dell’organizzazione o dell’azienda – ha lo stesso logo ed un testo simile a quello usato normalmente da quell’organizzazione – e poi la spedisce in maniera massiccia ad una serie di indirizzi mail.
Nella mail chiede al destinatario di fornire i suoi dati personali per poter accedere ad un servizio.
Per esempio, chiede di aggiornare, convalidare o confermare le informazioni contenute nell’account del servizio perché c’è stato un problema di registrazione o di altro tipo.
La mail contiene un link e la vittima viene reindirizzata su un sito web fasullo molto simile a quello istituzionale del mittente, dove inserisce i suoi dati e consegna inconsapevolmente ad un malvivente la sua identità.

2) Invio di SMS con un link per accedere ad un sito web fasullo

Di solito la truffa avviene attraverso la posta elettronica, ma in alcuni casi il malintenzionato usa gli SMS. Anche questi sono molto simili a quelli ufficiali dell’ente o dell’organizzazione e invitano la persona a cliccare su un link per accedere ad un sito web (fasullo) in cui lasciare i propri dati.

3) Attraverso un virus informatico

È un sistema ancora più subdolo. Il malvivente invia un allegato nella mail, di solito una fattura falsa, una multa, un avviso di consegna pacchi – il formato è comunissimo: può essere un file Excel, un documento .doc o un PDF – ed è così che avviene l’infezione.
Il virus può andare dal Financial malware al Trojan banking, cioè virus che rubano i dati finanziari, fin al Virus keylogging che si attiva quando, sulla tastiera, vengono inseriti user e password, così il malvivente può accedere alla posta elettronica o all’account dell’e-commerce.

Come riconoscere un tentativo di phishing e come evitare di cadere nel raggiro?

Se ti arriva un messaggio o una mail in cui ti chiedono di confermare, inviare, modificare informazioni personali, non fidarti. Meglio approfondire. Meglio fermarsi un attimo e telefonare al servizio clienti dell’ente, prima di aprire l’allegato o cliccare sul link.
I tentativi di phishing fanno leva sulla paura. Fanno pressioni perché tu perda la testa per spingerti a rivelare i tuoi dati personali senza pensarci troppo.
Sono messaggi simili a questi:
“Se i dati personali non saranno comunicati entro la tal data, il suo account verrà bloccato”
“Se vuole proteggersi dal phishing, clicchi su questo link ed inserisca login e password”
Presi dall’ansia è facile cadere nella trappola.
E’ importante avere Security Awareness…. cercare di essere consapevoli e cercare di seguire alcune regole prima di agire.
Ecco alcuni consigli per cercare di capire se la mail o il messaggio che hai ricevuto è un tentativo di phishing:
  • Controlla l’URL del link (l’URL è la stringa di testo del link, per esempio: https://nome.sito.it/)
Gli attacchi di phishing usano link molto simili agli URL dei siti originali. Chi ha dimestichezza con il web di solito li riconosce facilmente, ma chi è meno esperto potrebbe scambiarli per i link ufficiali. Per esempio, possono includere il nome dell’azienda insieme ad altre parole: www.nomebancaexampel.it o www.nomebanca.it.personal.login o www.nomebanca.it-persona.login invece dell’ULR autentico www.nomebanca.it
In alcuni casi il link porta al sito web originale, ma poi l’URL della pagina è diverso. Quindi fai attenzione anche all’URL della pagina su cui atterri.
  • Fai attenzione ai link che iniziano con l’indirizzo IP
L’indirizzo IP è un’etichetta numerica che identifica univocamente un dispositivo collegato a una rete informatica. Quindi se il link inizia con una successione di numeri, fai attenzione e ricorda che le banche e gli enti non usano mai link di questo tipo.
  • Non compilare mai i campi all’interno di una mail
Se i campi da compilare sono nella mail fermati subito! Nessuna banca o istituzione ti chiederà mail di fare una cosa del genere.
  • Non aprire gli allegati di mail che non hai richiesto o che non conosci
Meglio un giro di telefonate in più che subire il raggiro. Chiama il servizio clienti dell’ente o dell’organizzazione e chiedi se stanno inviando messaggi o mail come quelli che hai ricevuto oppure rivolgiti alla Polizia Postale.
  • Non rivelare a nessuno le tue password e cambiale spesso
È una regola di buon senso, ma poco applicata. Invece è indispensabile per limitare i furti di identità. In azienda è una misura importante per ridurre il rischio di avere un Data Breach, cioè una violazione dei dati personali.
  • Usa un antivirus e un software anti-phishing (e tienilo aggiornato)
Gli attacchi di phishing sono sempre più sofisticati, quindi è importante usare dei software che possono contrastare queste frodi e tenerli aggiornati.
Il modo migliore per tenere al sicuro i tuoi dati è essere consapevole di quello che stai facendo.
Non solo le aziende, gli enti e le organizzazioni, anche i singoli cittadini devono essere consapevoli, responsabili e competenti.
Agire con accountability. Perché la protezione dei dati personali è una tutela che riguarda sia chi li raccoglie e li tratta, sia chi li affida ad altri.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
FONTE: Privacylab BLOG – Di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL
Read More

GDPR – Covid-19: la scelta degli strumenti per gestire la Fase 2

I protocolli per la riapertura Covid-19 ci consigliano dei comportamenti da adottare per garantire la sicurezza di chi entra in azienda – dipendenti, clienti, fornitori – ma anche per chi entra in palestra, al circolo, nei negozi e così via. Per adottare questi comportamenti, dobbiamo gestire dei trattamenti di dati personali ed eventualmente adottare degli strumenti.
Quando abbiamo parlato di GDPR, Coronavirus e fase 2 e di come gestire la riapertura (LEGGI QUI), infatti, abbiamo visto quali sono questi trattamenti e quali sono le norme da rispettare, che sono sempre quelle. Breve ripasso. Le norme da tenere sempre presenti sono: GDPR, Novellato 101, D.lgs 81 del 9 aprile 2008 e i vari DPCM e protocolli che servono per la gestione del Covid e della riapertura.
Bene. In questo articolo cerchiamo di capire come vanno scelti e verificati gli strumenti per la gestione della Fase 2. Perché bisogna essere sicuri e tranquilli di usare lo strumento corretto per garantire la sicurezza delle persone e gestire il trattamento dei dati in modo conforme al GDPR.
Uno dei busillis grossi è la verifica della temperatura.
Per entrare in azienda, i protocolli di sicurezza ci dicono che è possibile misurare la temperatura e vedere se è più alta o più bassa di 37.5: se è minore, la persona è idonea e può entrare; se è superiore a 37.5 non può entrare, deve tornare a casa e avvisare il medico.
Attenzione. Misurare la temperatura non è un obbligo. Puoi anche decidere di non farlo!
Poniamo che tu decida di misurare la febbre dei dipendenti. Come scegliere gli strumenti?

Come scegliere gli strumenti per misurare la temperatura all’ingresso

Prima di guardare gli strumenti per la misurazione della temperatura, c’è una cosa importante da avere ben chiara: la temperatura corpora non si può tenere registrata da nessuna partelo dice il Garante. E dice anche che, se proprio vuoi registrare qualcosa, allora puoi registrare l’idoneità all’accesso. Punto. Chiaro?
Bene. Detto questo, devi scegliere lo strumento. E in giro ci sono strumenti che promettono mari e monti, ma che potrebbero non essere compliant nella gestione del GDPR (LEGGI QUI).  Quindi fai attenzione.

Fondamentalmente, ci sono 3 tipologie di strumenti e quindi 3 diversi impatti sul GDPR:

1 – Termometro a infrarossi
Il termometro a infrarossi non ha nessun impatto sul GDPR, a meno che non registri quel dato da qualche parte. Ma se non lo registri, il termometro a infrarossi, di per sé, come strumento non tocca il GDPR. Perché la temperatura resta nella testa di chi legge.

È chiaro che se Peppino, l’addetto che misura la temperatura, non segna nulla, poi torna in ufficio e scrive una mail la titolare per dirgli “Guarda che Antonio è venuto a lavorare anche se aveva la febbre a 38 e l’ho rimandato a casa”, allora è un problema. Perché c’è un trattamento di dati personali. Quindi chi misura la temperatura deve essere formato e deve sapere che non deve scriverla da nessuna parte, neanche su carta di formaggio, altrimenti passa dei guai!

2 – Misuri la temperatura e registri su carta l’idoneità
Puoi decidere di misurare la temperatura con il termometro a infrarossi, chiedere ai dipendenti se si sono provati la temperatura, prendere un infermiere che usa il termometro tradizionale. Decidi tu. Dopodiché, per dare evidenza che in azienda non siano entrate persone sintomatiche, puoi decidere di registrare l’idoneità – non la temperatura, mi raccomando! – sulla carta, su un foglio excel, sul database, sul gestionale. 

Qui, invece, l’impatto sul GPDR c’è. E ti obbliga ad aggiornare il registro, a nominare gli addetti perché avrai un archivio in più ed un trattamento aggiuntivo. Ti obbliga a verificare che il trattamento sia a norma, a fare la DPIA (Data Privacy Impact Assessment) (LEGGI QUI)e ad aggiornare eventualmente le informative, perché potrebbe essere un trattamento aggiuntivo che non avevi previsto. E chiaramente devi anche scrivere un protocollo per dare evidenza che tutti quelli che sono entrati, sono stati sottoposti ad una procedura per capire se fossero idonei all’ingresso oppure no. Se decidi di registrare l’idoneità è una cosa che va fatta.

3 – Termoscanner o sensori
Sono dispositivi di varia natura e funzionano tutti in maniera molto simile. Sappi che il termoscanner ha un impatto sul GDPR. Ha un impatto nel momento in cui registra l’idoneità e quindi ti obbliga ad aggiornare il registro – perché hai uno strumento digitale che ti gestisce i dati sull’idoneità -, a fare la DPIA, a nominare gli addetti, a verificare la sicurezza dello strumento. Trattandosi di uno strumento digitale, dovrai anche verificare il fornitore. Devi controllare se fa quello che dice di fare e se lo fa nella maniera corretta. E se il fornitore fa la manutenzione, lo dovrai nominare anche responsabile esterno al trattamento e amministratore di sistema.

Idem per il fornitore del Cloud (perché ci sono dei termoscanner che addirittura salvano in Cloud i dati!). E poi dovrai creare un protocollo, per dare evidenza di aver gestito in maniera puntuale le misure di sicurezza per la riapertura.

Quindi hai fondamentalmente 3 modi per misurare la temperatura.
Di questi, il termoscanner è quello potenzialmente più problematico per il GDPR.

Termoscanner e GDPR: occhio allo strumento che scegli!

In queste ultime settimane è venuto fuori un disastro. Termoscanner come se piovesse.
Ti do una notizia: il 99,99% dei termoscanner è – chiaramente! – fabbricato in Cina.
Non c’è niente di male di per sé. Però, quando scegli i tuoi strumenti (LEGGI QUI), ci sono delle domande che ti dovresti fare, prima di adottarli e questo vale per qualsiasi strumento che può trattare dei dati!
Quindi, anche quando scegli un fornitore di termoscanner, devi chiederti:
  • Quali dati gestisce il termoscanner?
  • Dove risiedono fisicamente queste informazioni? Sono salvate nel termoscanner? Il termoscanner non salva niente? Se è fatto in Cina, salva i dati in Cina?
  • Il termoscanner salva dei video e delle immagini, oltre alle idoneità?
  • Il termonscanner spara l’idoneità in Cloud?.
  • Chi vede queste informazioni? E come le vede?
Poi, chiaramente, devi nominare il fornitore del dispositivo come responsabile esterno al trattamento e verificare la sua adeguatezza (LEGGI QUI).
Bene. Adesso cerchiamo di capire quali dati vengono trattati. Perché mi sono accorto che molti produttori di termoscanner hanno i reparti marketing che hanno l’ansia da prestazione – il mio termoscanner tonifica, lubrifica, fa tutto: ti registra il viso, fa la face recognition, spara i dati in Cloud. Ha tutto! – e quindi eccedono in descrizioni e funzionalità che potrebbero non essere a norma GDPR.
Facciamo qualche esempio. Ecco alcune funzioni presenti nei termoscanner che ho analizzato.
1 – Face recognition
Molti dei termoscanner che ho studiato hanno la funzione di face recognition, il riconoscimento facciale. La funzione di face recognition ha un impatto sul GDPR? Acciderbola se ce l’ha! Ha un impatto fortissimo sul GDPR. Ha un impatto così grande, che ti obbliga a chiedere l’autorizzazione ai sindacati. Ma, soprattutto è un’attività biometrica, e con l’attività biometrica, è sempre meglio chiedere l’autorizzazione al Garante. E il Garante, interpellato su questa cosa, spesso dice: “Guarda, se non è necessaria, non farla!”
Io mi chiederei: a cosa serve la face recognition per la prevenzione del Covid?
Secondo me a poco. La vuoi usare?
Va bene. Ricordati però che, se la vuoi usare, devi attivare il protocollo con l’Ispettorato del lavoro, con le organizzazioni sindacali e devi chiedere il permesso al Garante. 
E ricordati che poi bisogna anche chiedere il consenso agli interessati, cioè a tutte le persone che passi col temoscanner. Diventerebbe una follia! Come fai a chiedere il consenso ad ogni persona che si presenta all’ingresso dell’azienda, ogni giorno?
Quindi, la funzione di face recognition è una di quelle bellissime cose che, per poterle usare, devono essere disabilitabile.
2 – Salvataggio di immagini o video sul dispositivo
Moltissimi termoscanner hanno il salvataggio delle immagini e dei micro-filmatini di quando passa la persona. Allora devi verificare quali immagini e quali video vengono salvati.
C’è la faccia e basta?
Mmmm…
C’è la faccia più la temperatura?
No! La temperatura non può essere salvata insieme al dato della persona e la faccia identifica la persona. Non può essere salvata da nessuna parte. Lo ha detto il Garante.
Ci vedi scritto: 36.5?
Non va bene!
Ci vedi scritto IDONEO oppure RESPINTO?
Va be’…
L’idoneità, come abbiamo visto, la puoi registrare.

Però poi devi aggiornare il registro, l’informativa, fare la DPIA eccetera eccetera. Sta a te decidere.

Se vengono registrate immagini e video c’è un impatto sul GDPR?
Certo! Perché, oltre alla gestione del Covid, devi gestire la cosa anche come videosorveglianza.
È inutile che mi dici “Eh ma io non videosorveglio…”
Perché stai videosorvegliando. Più videosorveglianza di quella del termoscanner non c’è niente! Perché Peppino entra in azienda solo se gli hai fatto la foto e hai guardato se è idoneo.

Quindi devi attivarti per gestire il termoscanner come se avessi attivato la videosorveglianza, oltre a tutto quello che riguarda i trattamenti Covid.

3 – Salvataggio in Cloud
Molti di questi strumenti, non solo salvano i dati sul dispositivo, ma ti danno anche la possibilità di salvare in Cloud. Lo puoi fare? Sì, però, anche qui hai degli adempimenti imposti dal GDPR e cioè:
  • Devi verificare che i dati che vengono salvati in Cloud siano esattamente quelli corretti. Quindi, non deve essere salvata la temperatura, deve essere salvata solo l’idoneità.
  • Devi fare tutta la trafila per il Cloud per verificare il fornitore, nominarlo responsabile esterno, verificare che sia adeguato e devi gestirlo come un fornitore di videosorveglianza che salva i dati in Cloud. È una cosa che si può fare – basta che non ci sia registrata la temperatura, se c’è la temperatura: no, non si può fare! – ma io tenderei personalmente a non farlo. Se decidi di farlo, l’importante è che tutta la catena di responsabilità sia stata resa chiara, evidente, gestita, condivisa e sicura. Cioè devi avere una responsibility chain chiara.
4 – Salvataggio dell’idoneità 
Fare il salvataggio dell’idoneità ha un impatto sul GDPR?
Sì, e se la salvi in Cloud, ha un impatto maggiore perché devi nominare il responsabile esterno.
Se lo salvi sui tuoi sistemi aziendali, in teoria, l’idoneità al lavoro dei dipendenti è già un’informazione che gestisci. Magari c’è da lavorare sull’informativa dei visitatori, perché l’idoneità all’accesso non era stata gestita. Ma per i dipendenti, se hai lavorato bene prima, forse non devi aggiungere niente nell’informativa.

Forse devi aggiungere qualcosa anche nel registro dei trattamenti, indicando l’archivio in cui sono registrate le idoneità. Se poi l’archivio è in Cloud, dovrai nominare responsabile esterno chi gestisce il Cloud.

5 – Salvataggio della temperatura corporea
Non si può fare! Te l’ho detto 70 volte, te lo dico la 71esima. Non si può fare da nessuna parte, su nessun asset digitale o cartaceo che sia.
Da nessuna parte ci deve essere scritta la temperatura di Antonio, di Francesco, di Maria.
Anche se è pseudo-anonimizzata. È importante questo.
Perché ne stanno venendo fuori veramente tantissime di situazioni dove vengono registrate le temperature come se non ci fosse un domani!
6 – Mask recognition
Molti termoscanner hanno la mask recognition. Cos’è? È un algoritmo che vede se sulla tua faccia c’è una mascherina, un foulard, una sciarpa o qualcosa del genere e se ce l’hai ti permette di entrare. Quindi, oltre al misurare la temperatura, ti dà l’ok: idoneo/non idoneo.
Se non viene salvato nessun dato biometrico, ma viene solo rilevato che Peppino, Aziz e Giulia sono idonei all’ingresso, e il dispositivo non salva nulla, non hai impatti sul GDPR. Perché l’idoneità l’hai già salvata precedentemente: il fatto che Peppino abbia la mascherina o meno cambia poco, perché rendi idonei solo quelli che hanno la mascherina.

Le persone non idonee sono quelle che non hanno la mascherina e/o hanno una temperatura superiore a 37.5. Quindi, salvando l’idoneità, sei assolutamente a posto.

Attenzione – È chiaro che, se per fare la mask recognition, viene fatta una foto, che viene salvata sul device, a quel punto stai facendo videosorveglianza e quindi devi seguire la stessa trafila che abbiamo già visto più su.

Gestione dei dati e termoscanner che salvano le immagini: io ci starei lontano

Chiaramente, la gestione dei dati raccolti con il termoscanner – ovvero, chi vede queste informazioni, chi può accedere al device, chi può fare manutenzione – necessita obbligatoriamente di profili di visualizzazione e autorizzativi differenti. Quindi servono profili diversi, per ogni addetto nominato che può vedere questi dati. Ecco perché, personalmente io ti dico: “Stai lontano come la peste dai device che salvano le immagini!”
Non ne hai la necessità. È un dato in più che non ti serve.
Perché devi mettere in piedi una gestione complicata?
Vale sempre il principio della minimizzazione del trattamento: prima di prendere delle informazioni, chiediti se ti servono davvero o se puoi farne a meno.
Come vedi, la scelta dello strumento diventa veramente fondamentale, perché uno strumento che in automatico ti salva le immagini, ti fa la face recognition e ha un profilo di accesso unico – al termoscanner ci accedi con “admin – admin” – non va bene, perché hai dei trattamenti non necessari da gestire e non riesci a testimoniare in maniera chiara, che a quel device lì può accedere solo una persona.

Attenzione agli strumenti col bollino! Non è detto che siano conformi al GDPR

Un’altra cosa che ho visto in questo periodo: tutti questi dispositivi venduti su internet sono GDPR Ready, GDPR Compliant, GPDR Ok…Allora. Chiariamo una cosa: non è detto che il termoscanner che ha il bollino, sia GDPR compliant. Non vuol dire che lo sia! Ed è obbligo del titolare del trattamento verificare che lo strumento sia ok e che abbia le caratteristiche corrette per poter gestire e trattare le informazioni che il titolare ha scelto di trattare.
Io posso avere tutti i bollini del mondo, ma non hanno nessun valore. Devi verificare il fornitore.
E come si verifica il fornitore?

Come si verifica il fornitore del dispositivo che misura la temperatura?

Non devi verificare la qualità tecnica del fornitore. Devi verificare che l’azienda e il suo prodotto abbiano le caratteristiche adeguate a trattare i dati che tu, come titolare, hai scelto di trattare. Quindi:

1 – Deve autonominarsi responsabile esterno
Un fornitore che fa la manutenzione di sistemi un po’ complicati e che non si nomina responsabile esterno, mi fa drizzare le orecchie!
Nel contratto ci devono essere delle clausole, da te verificabili, in cui dice quali dei tuoi dati tratterà, in cui ti spiega non tanto le misure di sicurezza ma se i trattamenti che fa sono a rischio residuale basso e ti dovrà dare un suo documento di compliance al GDPR.
Perché tu devi sapere se i dati sono in Cloud, se sono trattati in Europa, in Italia o all’estero.
E se vanno all’estero, hai un altro problema. Visto che molti di questi che producono termoscanner sono cinesi, fanno anche il backup in Cina!
2 – Deve indicare come viene gestito il Data Breach
Nel contratto devono esserci le clausole del Data Breach (LEGGI QUI cosa fare) perché, se viene craccato il Cloud dove dentro ci sono tutte le temperature dei dipendenti, cosa succede? Se il fornitore è nominato responsabile esterno, non decide lui di fare la comunicazione al Garante, lo decidi tu, in quanto titolare del trattamento. E questo deve essere ben evidente nel contratto.
Per scegliere il fornitore, chiaramente non basta dire: “Fammi vedere la tua valutazione d’impatto. Fammi vedere la nomina da Data Processor e le clausole contrattuali. Fammi vedere dove tratti i dati. Li tratti fuori dall’Europa? Via, non ti voglio!”
Tutto questo non basta.

Ogni tot di tempo hai l’obbligo di verificare il fornitore. Verifichi se i trattamenti che sta facendo per te sono ancora compliant. E come fai a verificarlo? Ad esempio, chiedendo il documento di Compliance aziendale. Se poi è un fornitore che fa la manutenzione, serve anche la nomina da amministratore di sistema, che è tornata prepotentemente fuori, perché la Guardia di Finanza sta iniziando a chiederla in maniera puntuale e precisa.

Come scegliere gli strumenti digitali che registrano i questionari

Il protocollo per la riapertura ci dice che tu, azienda, devi assicurarti che i dipendenti abbiano capito quali sono i comportamenti da adottare per la gestione del Covid: non si entra con la febbre superiore a 37.5, bisogna tenere la distanza, bisogna sapere con chi parlare e cosa fare se si sta male, insomma, tutte le misure da prendere per la fase 2 e la gestione della riapertura (LEGGI QUI).
Uno dei metodi per dare evidenza di questa cosa è far compilare tutti i giorni un questionario prima di entrare in azienda.
Come si gestisce il questionario ai dipendenti?
In molti modi: a voce, su carta e anche in digitale.
E infatti, sono venuti fuori una serie di App, Software e Web App che gestiscono i questionari per il contenimento del Covid. Bene. Deve essere chiaro che, nel momento in cui fai un questionario e registri le risposte, le risposte sono un trattamento di dati personali.
Quindi, oltre a scrivere un protocollo per riuscire a gestire la cosa, dovrai aggiornare il registro, dovrai fare la DPIA, dovrai nominare gli addetti a quei trattamenti, dovrai verificare le misure di sicurezza, dovrai aggiornare le informative – se necessario – perché molto probabilmente dovrai fare dei trattamenti aggiuntivi, che prima non facevi.
Se gestisci i questionari in digitale, va da sé che stai facendo dei trattamenti aggiuntivi.
Quindi, prima di scegliere l’App, il Software o la Web App che ti gestisce il questionario all’ingresso, dovrai:
  • capire se salva i dati
  • e se salava i dati, quali dati sono e dove li salva
  • chi li vede e come
  • nominare il fornitore responsabile esterno
  • verificare l’adeguatezza del fornitore
Stessa trafila e stessa verifica che abbiamo visto per i termoscanner.
Verifica anche se puoi cambiare le domande che vengono fatte nel questionario.
Perché ci sono dei sistemi in cui sono preimpostate delle domande fatte dal Marchese de Sade!
Il Marchese de Sade fa le domande e tu sei obbligato a tenertele e i dipendenti a dare risposte a della roba che non c’entra praticamente nulla col GDPR, il Covid ed i protocolli di sicurezza. E magari queste risposte vengono salvate dentro il database.
Non è detto che servano, non va bene e non è necessario!
Quindi, occhio agli strumenti che scegli per la riapertura.
Lo strumento ha il bollino? Dice di essere GDPR compliant?
Non fidarti!
Scava e verifica effettivamente quali informazioni salva, dove, come e chi accede.
È una cosa che va fatta sempre.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
FONTE: Privacylab BLOG – BY Andrea Chiozzi socio fondatore e CEO di PRIVACYLAB SRL,
Read More

GDPR – Come si è arrivati al GDPR: dalla privacy al Regolamento

Come siamo arrivati al GDPR? Non è che chi fa le norme europee un giorno ha deciso di regolamentare la questione del trattamento dei dati personali così, tanto per rendere la vita difficile a tutte le imprese, gli enti e i professionisti d’Europa. No, la storia della protezione delle informazioni personali inizia molto tempo prima dell’UE, molto tempo prima del Codice Privacy e soprattutto non inizia nel Vecchio Continente, ma negli Stati Uniti di fine ‘800 quando, per la prima volta, si è iniziato a parlare di privacy.
In questo articolo, estratto da un intervento del Professor Pizzetti, ripercorriamo le tappe che hanno portato al GDPR.
Attenzione. Spoiler. Privacy e protezione dei dati personali non sono sinonimi.
Nell’opinione comune sono considerati sostanzialmente equivalenti ma, come vedremo, non è così.
Dicevo che tutto è iniziato negli Stati Uniti di fine ‘800, a Boston, quando due avvocati, Warren e Brandeis, pubblicano sulla rivista Harvard Law Review il primo articolo sul diritto alla privacy.

1890, “The Right to Privacy” e la differenza tra protezione del dato e diritto alla privacy

Adesso immaginati la Boston di fine ‘800. Ci sono ancora le carrozze. La radio praticamente non esiste (Marconi e gli altri ci stanno ancora lavorando). Niente TV. La tecnologia più avanzata in campo media è la fotografia. Il mezzo di comunicazione più diffuso è la stampa. Bene. Ad un certo punto i giornali iniziano a pubblicare le foto delle signore dell’alta società con i loro gonnelloni e i cappellini mentre partecipano agli eventi mondani. È un caso che si inizi a parlare di informazioni personali proprio in questa situazione? No, perché se guardiamo la cosa dal punto di vista della protezione dei dati, vediamo che ci sono un’infrastruttura tecnologica e dei dispositivi – cioè la stampa e le macchine fotografiche – che possono diffondere in maniera massiccia – attraverso i giornali – le immagini delle persone. Oggi lo chiameremmo trattamento e diffusione di dati su larga scala.
Intendiamoci, il dato personale non nasce con la tecnologia. È da quando è comparso sulla terra che l’uomo produce dati. Anche le pitture rupestri sono dei dati personali, che non possiamo ricondurre a chi le ha realizzate – non c’è la firma, almeno per quanto ne sappiano noi – ma sono comunque dati (anonimi). Quindi produciamo dati personali a prescindere e li proteggiamo da sempre.
Cosa è cambiato nella Boston di fine ‘800?
Lo sviluppo tecnologico. La diffusione del dato non è più limitata alla piazza cittadina, alle chiacchiere nelle sale da tè o al club per gentiluomini. Le foto delle signore belle ed eleganti finiscono sul giornale che tutti possono vedere. Non è la tecnologia di per sé, ma l’uso che se ne fa a creare un problema per i singoli individui.
Un problema che è cresciuto con le tecnologie informatiche, perché possono diffondere il dato in modo massiccio. Un conto è il pettegolezzo delle vecchiette che spiano dalla finestra, un altro è la foto del paparazzo che pubblica la tresca dell’attricetta sui giornali, un altro ancora è l’immagine postata sui Social, visibile a milioni di persone.
Ma torniamo a Warren e Brandeis.
Colpiti da questa intrusione nella vita delle persone, Warren e Brandeis scrivono un articolo “The Right to Privacy” dove dicono sostanzialmente questo: c’è un diritto della persona alla vita privata e al rispetto della vita privata. È uno spazio di autonomia, di sfera chiusa, che va tutelato dall’intrusione di altri, che siano terzi o lo Stato.
Quindi la privacy è un concetto legato alla riservatezza. C’è un limite oltre il quale non si può andare, dove l’accesso è consentito solo agli autorizzati. Vuoi entrare nel giardino di casa mia? Senza il mio consenso non lo puoi fare. È un concetto simile a quello della protezione del dato personale, ma non identico.

La differenza tra privacy e protezione del dato personale

Privacy e protezione del dato non sono la stessa cosa, perché:
  • quando parliamo di privacy e di riservatezza intendiamo la tutela della sfera privata secondo la tradizione americana,
  • mentre la protezione del dato riguarda tutte le informazioni su una persona.
Facciamo un esempio – Se Antonio a casa sua gira in mutande, con la cuffia da doccia rosa in testa e la giarrettiera, sono fatti suoi, è la sua privacy. Se per lavoro Antonio deve comprare un biglietto del treno per andare da Reggio Emilia a Milano, dove sopra c’è scritto come si chiama, a che ora parte e qual è il suo posto a sedere, è un trattamento di dati personali.
È una differenza sottile, ma importante. Perché nel testo del GDPR non si parla mai di privacy.
Bene. Ad un certo punto, questo concetto di privacy e di tutela della sfera privata delle persone arriva anche in Europa. Ma qui il contesto è molto diverso.
Se negli USA l’idea è difendersi dall’intrusione di privati – giornali, aziende, altre persone – in Europa l’idea è quella di difendersi dall’intrusione dello Stato.

Costituzione italiana (1947) e Convenzione CEDU (1950): tutela della sfera privata dallo Stato

Quando il concetto di privacy arriva in Europa, non si parla ancora di dato personale – siamo nell’Europa post-bellica e dovremo aspettare circa 30 anni per la prima legge sulla protezione dei dati – e gli Stati totalitari sono ancora una cosa fresca. Il regime fascista in Italia e quello nazista in Germania sono appena caduti, l’Unione Sovietica è più attiva che mai. È chiaro. La sfera privata va protetta dallo Stato.
Oggi non è più così, lo sappiamo.
Google, Facebook, Amazon e gli altri colossi del web sono soggetti privati che ormai hanno dimensioni gigantesche, quasi degli Stati di fatto. Sono poteri privati: società private che hanno un potere enorme sulla nostra identità digitale.
Ma torniamo alle tappe del GDPR e guardiamo agli anni tra il secondo dopo guerra e l’inizio della Guerra Fredda. Concentriamoci sull’Italia e sul resto d’Europa. Vengono emanate 2 norme fondamentali che riguardano la sfera privata: l’articolo 8 della CEDU e l’articolo 2 della nostra Costituzione.
1 – L’articolo 8 della Convenzione Europea dei Diritti dell’Uomo (CEDU) del 1950 sancisce il diritto al rispetto della vita privata.
Occhio a non confondere la CEDU con la CE, la CEE, l’UE eccetera eccetera. Sarò breve: la CEDU è una Convenzione internazionale redatta e adottata nell’ambito del Consiglio d’Europa, che non è né il Consiglio dell’Unione né il Consiglio Europeo – lo so è complicato… – quindi non c’entra con l’Unione Europea. È un’organizzazione internazionale che promuove la democrazia, i diritti umani, l’identità culturale europea e la ricerca di soluzioni ai problemi sociali in Europa, con sede a Strasburgo. Ne fanno parte alcuni Stati che rientrano nell’UE e altri che invece sono fuori dall’UE. Per essere chiari, hanno aderito alla CEDU sia la Turchia che la Russia, che se non fosse chiaro non sono Stati dell’Unione Europea.
2 – l’articolo 2 della Costituzione italiana del 1947 sancisce il rispetto dei diritti inviolabili dell’uomo. La persona è centrale rispetto allo Stato, possiede dei diritti inviolabili che la Repubblica deve riconoscere e garantire.

1978 e 1981. Le prime norme sulla protezione dei dati personali

Passano quasi 30 anni dalla CEDU e nel 1978, nella Germania Federale, il Land dell’Assia emana la prima legge nazionale per la protezione dei dati personali. È un caso? No. Non è un caso. A Berlino c’è ancora il muro, l’Unione Sovietica controlla i cittadini – hai presente il film Le vite degli altri? Ecco, hai capito di cosa stiamo parlando – e la norma nasce per reazione al pericolo della dittatura. Il pericolo è che lo Stato, trattando dati personali, possa rafforzare la dittatura.
Poi, nel 1981, il Consiglio d’Europa (quello della CEDU che abbiamo visto prima) adotta la Convenzione 108 – oggi Convenzione 108 Plus – che è il più grande documento a livello europeo per la protezione dei dati personali e che oggi si applica ai paesi terzi, cioè agli Stati che non fanno parte dell’Unione Europea.
Perché proprio nel 1981? Perché comincia a diffondersi l’informatica di massa: le persone iniziano ad avere un PC in casa. La Convenzione 108 dà anche una definizione di che cos’è un dato personale: è un dato relativo ad una persona fisica identificata o identificabile. Ed è un concetto legato al diritto alla libertà. Una libertà che va protetta da un controllo esterno (da parte di privati o da parte dello Stato). Poi la convenzione 108 parla anche di trattamenti con elaborazione automatizzata e del diritto delle persone di conoscere i trattamenti fatti sui loro dati e da quali soggetti. Parla pure di qualità del dato trattato.
Insomma, se mastichi un po’ di concetti del GDPR, capisci perché la Convenzione 108 è così importante.

1992. CE, Mercato unico, libera circolazione delle merci, delle persone e dei dati personali

Nel 1992 il processo di integrazione del mercato unico europeo arriva al culmine con il Trattato di Maastricht e la creazione della Comunità Europea. Vengono istituiti due nuovi ambiti di competenza: la Politica estera di sicurezza comune e la Cooperazione nella giustizia e negli affari comuni. Viene istituito anche il sistema di libera circolazione delle persone e delle merci: l’area Schengen.
Ma nasce un problema. Quello di avere una normativa quadro a livello europeo sulla protezione dei dati personali perché, se c’è un mercato unico, anche i dati devono poter circolare liberamente.
Come fare? Bisogna armonizzare le norme per la protezione dei dati anche a livello nazionale per evitare la polarizzazione: da una parte Stati con regole troppo lasche per attirare imprese e investitori – e quindi fare dumping –, dall’altra Stati con regole troppo rigide che impediscono ai dati di circolare. La CE adotta la Direttiva 46 del 1995, oggi sostituita dal GDPR.
Perché una direttiva?
Facciamo una brevissima digressione, altrimenti non è chiaro.

La differenza tra direttive e regolamenti

Le direttive e i regolamenti sono due dei più importanti atti giuridici della Comunità Europea. Ma sono due cose ben diverse fra loro e con importanti implicazioni sugli Stati:
  • Le direttive sono vincolanti per gli Stati nei fini, ma non nei mezzi; quindi fissano l’obiettivo, ma lasciano ai singoli Paesi uno spazio di interpretazione molto ampio e la possibilità di adottare norme nazionali che recepiscono le indicazioni della direttiva.
  • regolamenti sono immediatamente vincolanti in tutto il territorio dell’UE, senza atti di recepimento, in modo uniforme (quindi è come se fossero delle leggi emanate dal Parlamento, solo che valgono per tutti i paesi dell’Unione).

Direttiva 46 del 1995, Codice Privacy e Trattato di Lisbona (2007)

La scelta di emanare una direttiva (Direttiva 46/1995) non è casuale. All’epoca la protezione dei dati era agli inizi. Se ne sapeva ancora poco. Non era possibile adottare una norma uniforme e vincolante per tutti gli Stati. Ecco perché si è preferito emanare una direttiva che indicasse gli obiettivi ma che lasciasse spazio ai legislatori nazionali. È il motivo per cui in Italia abbiamo adottato il Codice Privacy, che oggi è stato modificato come novellato e quindi c’è ancora, ma fa molte meno cose rispetto al passato, perché sostituito dal GDPR. Ma lo vedremo fra poco.
Nel frattempo, tra la Direttiva 46/1995 e il GDPR succede un’altra cosa. È il 2007 e gli Stati firmano il Trattato di Lisbona che, tra le altre cose, dà valore giuridico alla Carta di Nizza del 2001, che è la Carta dei diritti fondamentali dell’Unione Europea.
Anche qui è complicato, lo so.
Quello che è importante sapere per i temi che trattiamo è questo: all’articolo 8 la Carta di Nizza inserisce nuovi diritti e fra questi anche quello alla protezione dei dati personali. È su questo che il GDPR trova il suo ancoraggio giuridico.

2016. Regolamento generale sulla protezione dei dati (GDPR) e Codice novellato

Siamo arrivati alla fine di questo excursus su trattati, norme e leggi. Grazie per aver resistito fin qui! Ora l’evoluzione del GDPR dovrebbe esserti più chiara. Dovresti anche aver capito perché è sbagliato parlare di privacy e protezione dei dati personali come se fossero la stessa cosa.
Bene. Adesso riprendiamo le fila e passiamo al GDPR.
Nel 2016 esce il Regolamento generale sulla protezione dei dati che sostituisce la vecchia direttiva. Ormai di protezione dei dati se ne sa abbastanza: ha senso continuare a demandare agli Stati i mezzi per applicarla? I legislatori europei pensano di no e passano dalla direttiva al regolamento. Un regolamento che vale per tutti gli Stati dell’Unione europea, in modo uniforme e cogente – il GDPR riguarda tutti – e che diventa direttamente applicabile il 25 maggio del 2018. Ma c’è un però. Il Regolamento non interviene proprio su tutto. Alcune cose le lascia ai legislatori nazionali.
Infatti, il Codice Privacy, che in Italia abbiamo adottato per recepire la Direttiva 45/1996, non è sparito, ma è stato rivisto. Si dice novellato. In parole povere è stato modificato su singoli punti e con riforme parziali.
A cosa serve e come metterlo insieme alle disposizioni del GDPR?
Il Codice novellato interviene in quegli spazi che il legislatore europeo ha voluto rimandare ai singoli Stati. Quindi l’UE stabilisce la cornice, ma spetta poi al legislatore nazionale adottare le norme.
Questi spazi sono:
  • Il trattamento di dati sensibili (oggi particolari): dati genetici, dati sulla salute, l’orientamento sessuale, le convinzioni religiose, le opinioni politiche eccetera.
  • La disciplina dell’Autorità: ogni Stato ha un’autorità – un organo nazionale – che garantisce la tutela dei dati personali, ma l’UE non può imporre un modello unico uguale per tutti i Paesi. Ogni Stato alle sue regole costituzionali. Per esempio, in Italia l’Autorità Garante viene nominata dal Parlamento. Quindi questo aspetto resta in capo ai singoli Stati.
  • Parte della disciplina sulle sanzioni. L’UE non ha competenze penali, che spettano ai singoli Stati – è il principio di Sovranità dello Stato – quindi può comminare solo sanzioni amministrative. Una sorta di multa. Però, nei casi più gravi, ha dato la possibilità ai singoli Stati dell’UE di prevedere una sanzione penale che viene data dal giudice, non dall’Autorità Garante (che resta un organo amministrativo e che quindi non si occupa di reati penali).
  • Il sistema della Soft Law, cioè di tutti gli atti che non provengono dal legislatore – nel caso italiano dal Parlamento – ma da altri soggetti. Questi atti sono strumenti che servono a rispettare gli obblighi di legge. Per esempio, in Italia sono i codici deontologici delle varie categorie professionali, le autorizzazioni generali del Garante, le normative di condotta e i sistemi di certificazione.
Ora dovresti avere un quadro più chiaro di come e perché siamo arrivati al GDPR. Non è stato un percorso breve, ma è servito per tutelare alcuni diritti fondamentali delle persone, non certo per danneggiare imprese ed enti, come alcuni continuano a credere.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
FONTE: Privacylab BLOG – by Redazione
Read More