
RISK INTELLIGENCE – Il tool per la valutazione delle vulnerabilità interne di SolarWinds MSP
26Gli MSP proattivi dovrebbero condurre valutazioni interne della vulnerabilità per aiutare i clienti a proteggere le proprie reti dall’interno, soprattutto se sono soggette ai requisiti PCI DSS. Gli attacchi esterni e le violazioni della rete sono diventati così pubblicizzati che molte organizzazioni potrebbero trascurare l’importanza della sicurezza interna e dell’analisi dei rischi.
L’aggiunta di valutazioni di vulnerabilità interne al tuo portafoglio di prodotti ti consente di identificare dove i tuoi clienti sono più vulnerabili agli attacchi interni, portando un altro flusso di entrate nella tua azienda.
L’importanza della gestione delle vulnerabilità interne
A differenza delle valutazioni di vulnerabilità esterne, che si concentrano sugli aggressori esterni che tentano di penetrare in un’azienda, una valutazione di vulnerabilità interna valuta la sicurezza IT dall’interno. Esamina i modi in cui le persone che si trovano all’interno dell’azienda possono sfruttare la rete e le risorse di dati di un’azienda.
Condurre una valutazione interna della vulnerabilità consente alle aziende di porre rimedio alle vulnerabilità contro:
- Attacchi interni intenzionali (ad esempio, da parte di dipendenti, partner scontenti, ecc.).
- Attacchi involontari (come la cancellazione accidentale di dati sensibili).
- Virus, malware e altri attacchi esterni che sono stati in grado di violare i confini della sicurezza della rete.
Scansione delle vulnerabilità: un’opportunità da non perdere per gli MSP
Offrire valutazioni interne della vulnerabilità può aprire un flusso di entrate redditizio per gli MSP, a condizione che scelgano la soluzione giusta. Scegli lo strumento sbagliato e gli MSP possono incontrare una strada difficile con molte vendite difficili per convincere i clienti del valore associato alla scansione delle vulnerabilità .
Certo, avere una soluzione che identifica i sistemi e i dati a rischio, chi ha accesso ad essi e quanto costerà riparare le vulnerabilità è potente. Ma avere una soluzione intelligente che non solo identifica completamente il rischio, ma lo quantifica in dollari, dimostra il valore monetario della scansione in termini di riduzione del rischio reale. Avere un aiuto così significativo rafforza la tua mano in modo incommensurabile quando si tratta di presentare ai clienti servizi di valutazione della vulnerabilità interna.
MSP Risk Intelligence di SolarWinds MSP
SolarWinds Risk Intelligence consente agli MSP di simulare l’identità di qualcuno con normali privilegi all’interno dell’infrastruttura IT di un cliente. Utilizzando quella persona, MSP Risk Intelligence cerca attivamente di esporre dati sensibili, vulnerabilità e autorizzazioni di accesso, quindi li sfrutta per violare i sistemi client e ottenere l’accesso ai dati sensibili.
Utilizzando le informazioni raccolte dalla scansione, MSP Risk Intelligence calcola, bilancia e assegna priorità al rischio finanziario dei clienti. Quindi genera un rapporto di valutazione del rischio basato sul dollaro con codice colore che mostra, fino al dollaro, la responsabilità finanziaria a carico dei sistemi del cliente. Mettendo il rischio in termini monetari, puoi convincere le principali parti interessate dell’importanza di investire nella sicurezza.
Con MSP Risk Intelligence puoi usufruire di:
- Scansione delle vulnerabilità
- Rapporti di intelligence sui rischi
- Scoperta delle autorizzazioni
- Rilevamento dei dati di pagamento
- Scoperta di PII e PHI
Vediamo le diverse funzioni più in dettaglio:
1 – SCANSIONE DELLE VULNERABILITA’
Gli strumenti completi di scansione delle vulnerabilità di MSP Risk Intelligence aiutano a sviluppare una valutazione interna completa delle vulnerabilità. Scopri dove risiedono i buchi nelle reti client per fermare gli exploit prima che inizino.
Le scansioni sono leggere e basate su host, quindi non si verificano problemi di autorizzazioni o di consumo di molta larghezza di banda. Puoi eseguire ricerche praticamente su qualsiasi tipo di dispositivo, dai server fino ai dispositivi mobili. E grazie a una sincronizzazione notturna con il database CVSS (Common Vulnerability Scoring System), puoi essere certo di essere sempre al corrente delle minacce più recenti.
Individua i buchi di sicurezza nei tuoi sistemi
In questi giorni, gli hacker hanno più assi nella manica che mai. Che si tratti di e-mail di phishing, download drive-by o malware vecchio stile, gli aggressori malintenzionati hanno molte opzioni per provare a sfruttare la sicurezza IT di un’azienda. SolarWinds® Risk Intelligence esegue la scansione dei sistemi non solo per i dati non protetti, ma per eventuali vulnerabilità che una parte esterna potrebbe tentare di sfruttare.
Esegui potenti scansioni delle vulnerabilità
- Scansione basata su host: utilizza la scansione basata su host per eseguire controlli di vulnerabilità su tutti i dispositivi delle reti senza dover affrontare problemi di autorizzazione per dispositivo.
- Scansioni leggere: inoltre, la scansione basata su host consente di eseguire le scansioni localmente, evitando il drenaggio delle risorse di rete.
- Scoperta delle minacce emergenti: SolarWinds Risk Intelligence sfrutta il database CVSS (Common Vulnerability Scoring System) per scoprire le minacce più recenti. MSP Risk Intelligence si sincronizza con il database ogni notte in modo che le scansioni delle vulnerabilità catturino le minacce più recenti.
- Ricerca tra dispositivi: sradica potenziali vulnerabilità su reti, server, workstation, applicazioni e dispositivi mobili.
Scopri le seguenti vulnerabilità
- Software senza patch: SolarWinds Risk Intelligence scoprirà il software senza patch sulle reti, proteggendoti dalle minacce.
- E-mail: SolarWinds Risk Intelligence esegue anche la scansione dei file di Outlook per individuare vulnerabilità e minacce note.
- Vulnerabilità dei sistemi operativi Mac e Windows: SolarWinds Risk Intelligence copre tutte le minacce malware conosciute registrate nel database CVSS e funziona su Mac, Windows e Linux.
- Minacce dalle connessioni VPN: configura le scansioni per l’esecuzione automatica quando un dispositivo nuovo o sconosciuto si connette alla tua rete.
2 – REPORTING DI INTELLIGENCE SUI RISCHI
Con SolarWinds Risk Intelligence puoi:
- Scoprire quante vulnerabilità ci sono e poi monitorale nel tempo, mostrando miglioramenti o riconoscendo aumenti.
- Scoprire quali dispositivi rappresentano un rischio per l’esposizione dei dati della carta di credito e scopri quanto costerebbe una violazione.
- Mostrare i cambiamenti nella responsabilità del rischio nel tempo per segnalare un ulteriore miglioramento
Esporta i rapporti come file CSV, PDF o Excel. Puoi persino marchiarli con il logo che preferisci.
Conosci l’impatto finanziario dei tuoi dati a rischio
In qualità di fornitore di servizi gestiti, devi dimostrare il tuo valore ai tuoi clienti. MSP Risk Intelligence rende facile mostrare agli stakeholder chiave dei clienti l’impatto finanziario dell’investimento nella sicurezza. Sia che tu abbia bisogno di un buy-in per ulteriori adozioni di servizi o semplicemente desideri dimostrare la tua efficacia, i report di SolarWinds ® Risk Intelligence ti aiutano a dimostrare miglioramenti tangibili ai profitti e aumentare notevolmente la consapevolezza e la sicurezza dei dati. Inoltre, i rapporti possono identificare in modo proattivo qualsiasi aumento del rischio allarmante, aiutandoti a reagire rapidamente per il tuo cliente prima che si verifichi una crisi.
Mostra miglioramento
- Dati della carta di credito: trova i tipi più comuni di numeri di carta di credito a 16 e 13 cifre nei tuoi sistemi, scopri quali dispositivi rappresentano il rischio maggiore e ottieni un importo totale in dollari a livello di organizzazione per una violazione.
- Baseline del rischio di violazione dei dati: individua tutti i dati sensibili, comprese le informazioni di identificazione personale e i tipi di file definiti personalizzati, per ottenere un numero di rischio finanziario in tutta l’organizzazione.
- Report sulle tendenze delle vulnerabilità: visualizza le modifiche nel numero totale di vulnerabilità nel tempo in modo da poter dimostrare i miglioramenti e riconoscere qualsiasi potenziale aumento del rischio.
- Report sull’andamento del rischio di violazione dei dati: visualizza il cambiamento della tua potenziale responsabilità nel tempo per dimostrare un chiaro miglioramento finanziario nella posizione di rischio dei tuoi clienti.
Ottieni il pieno controllo
- Suddivisioni per dispositivo: visualizza in dettaglio il livello di dispositivo per la maggior parte dei rapporti.
- Esportazione: scarica i rapporti in formato PDF, CSV o Excel.
- Rapporti personalizzabili: i rapporti possono includere qualsiasi logo caricato.
3 – SCOPERTA DELLE AUTORIZZAZIONI
Sicuramente come MSP Non vuoi che i dati finiscano nelle mani sbagliate, anche se quella persona sembra essere il dipendente di un cliente. Anche se non è dannoso, consentire l’accesso a informazioni sensibili può significare cattive notizie. MSP Risk Intelligence ti consente di trovare i problemi di autorizzazione prima che diventino un problema.
Contribuisci a garantire che solo le persone giuste possano accedere ai dati sensibili
Non è raro che i dipendenti abbiano accesso a dati non essenziali per il loro lavoro. In particolare, le piccole imprese in cui i dipendenti indossano diversi cappelli spesso non cambiano le autorizzazioni quando le persone cambiano ruolo. Questo può essere pericoloso: si consideri lo scenario di un dipendente che era solito gestire il libro paga avendo ancora accesso ai record del conto bancario mesi dopo aver cambiato reparto. Sebbene pochi dipendenti abbiano cattive intenzioni, le aziende non possono permettersi di dare troppo accesso ai dipendenti sbagliati. SolarWinds ® Risk Intelligence esegue la scansione dei vostri sistemi alla ricerca di dati sensibili, quindi vi mostra esattamente quali utenti hanno accesso.
Scopri i problemi di autorizzazione
- Rilevamento delle autorizzazioni inadeguato: scopri le mancate corrispondenze di autorizzazioni con scansioni approfondite di dati sensibili in modo da garantire che solo le persone giuste abbiano accesso alle informazioni giuste.
- Diversi tipi di file: scopri chi ha accesso a file di testo importanti, fogli di calcolo, e-mail, PDF e molto altro ancora.
- Scansioni di autorizzazioni granulari: imposta le scansioni per individuare gli utenti con autorizzazioni di lettura, scrittura, esecuzione o speciali.
Proteggiti dai seguenti scenari
- Dati di pagamento trapelati: individua le informazioni di pagamento non protette raccolte dagli addetti alle vendite che lavorano con i clienti.
- Perdita di informazioni sulla salute protette: proteggere le informazioni sulla salute che potrebbero essere archiviate nei file delle risorse umane.
- Elenchi di clienti rubati: aiuta a garantire che i dettagli dei tuoi clienti rimangano al sicuro nel caso in cui ex dipendenti tentano di rapinare i clienti.
- Segreti commerciali compromessi: scopri le vulnerabilità che potrebbero mettere a rischio la proprietà intellettuale o i segreti commerciali.
4 – RILEVAMENTO DEI DATI DI PAGAMENTO
La conformità PCI DSS è un must per le informazioni sulla carta di credito del cliente. SolarWinds Risk Intelligence aiuta a trovare le informazioni sulle carte di pagamento in luoghi difficili da raggiungere. Cerca server, workstation e dispositivi mobili: può gestire tutti i tipi di tecnologie, sistemi operativi e tipi di file. Si occupa delle scansioni PCI DSS richieste (numero di conto principale e scansioni di vulnerabilità interne). E tutti i dati in transito e inattivi vengono crittografati con tunnel IPsec o SSL VPN.
Proteggi i dati della carta di credito e aiuta a garantire la conformità allo standard PCI DSS
Forse uno dei più grandi incubi per i tuoi clienti sarebbe perdere i dati della carta di credito del cliente. Al di là della fiducia persa per l’azienda sul mercato, un’azienda in questa posizione potrebbe affrontare azioni legali o pesanti multe per conformità. Per combattere questo, gli standard PCI DSS sono stati creati per proteggere i consumatori facendo sì che le aziende aderiscano agli standard di sicurezza durante la gestione delle transazioni. Le scansioni di SolarWinds ® Risk Intelligence funzionano perfettamente per i clienti che operano in più sedi e hanno più dispositivi mobili in gestione.
Scansione e crittografia
- Scansioni richieste PCI DSS: eseguire scansioni della vulnerabilità interna PCI DSS e del numero di conto primario (PAN) utilizzando un semplice modello di autenticazione a livello di host.
- Diversi tipi di dispositivi supportati: cerca le informazioni di pagamento su server, workstation e dispositivi mobili.
- Crittografia per dati in transito e dati inattivi : crittografa i dati trasferiti tramite tunnel IPsec o SSL VPN e proteggi i dati inattivi senza la necessità di una distribuzione completa dell’infrastruttura a chiave pubblica.
Scansione tra tipi di file e tecnologie
- Tipi di file estesi: scansione di testo, MS Office e file compressi, nonché database, e-mail e archivi di posta elettronica e molto altro ancora.
- Compatibilità multipiattaforma: ricerca su Windows, Mac OS X, Android e iOS.
- Molteplici tecnologie supportate: copre Exchange, SharePoint, database, posta elettronica, archivi di posta elettronica, tecnologie di archiviazione cloud e molto altro ancora.
5- RILEVAMENTO DEI DATI PII / PHI
Come per le informazioni sulle carte di pagamento, le informazioni di identificazione personale e le informazioni sanitarie protette devono essere salvaguardate a tutti i costi. Una violazione potrebbe offuscare la reputazione del tuo cliente e la tua come MSP e portare a conseguenze potenzialmente costose a causa delle normative vigenti (esempio HIPAA). Ecco perché le nostre scansioni PII e PHI Data Discovery sono preziose.
Proteggi i dati personali sensibili dagli attacchi e ottimizza la riparazione
Le informazioni di identificazione personale (PII) o qualsiasi dato che può essere utilizzato per identificare un individuo, rappresentano un grave rischio per le aziende. Se violate, queste informazioni possono portare a cause legali e possono paralizzare la tua credibilità. MSP Risk Intelligence ti aiuta a trovare tutti i tipi di PII – indirizzi e-mail, numeri di previdenza sociale e altro – in transito e a riposo. Metterà anche una cifra in dollari/euro su ogni pezzo. SolarWinds ® Risk Intelligence elimina le PII ovunque siano presenti, prima che siano in transito.
Aiuta anche a proteggere tutti i tipi di PHI – cartelle cliniche, informazioni assicurative, cartelle cliniche dei pazienti – per aiutarti a rimanere in conformità con le norme vigenti.
Scopri tutti i tipi di PII
- Informazioni personali: sistemi di scansione per indirizzi e-mail, numeri di targa, conti bancari, numeri di previdenza sociale, dati ACH, numeri di carte di credito e molto altro.
- Dati di pagamento: individua tutti i tipi di numeri di carte di credito, inclusi Visa, MasterCard, American Express, JCB, carte Maestro Diner’s Club e altro ancora.
- Profilo di rischio finanziario: ricevi una valutazione del rischio finanziario quantificato su ogni parte delle PII.
- Dati non sicuri difficili da trovare: individua i dati sensibili sia in transito che a riposo.
- Controlli personalizzabili: sfrutta le scansioni out-of-the-box o personalizza le scansioni in base alle esigenze della tua organizzazione.
Scelto da MSP e professionisti IT in tutto il mondo
Quando si tratta di valutazioni di vulnerabilità interne, la precisione è fondamentale. Risultati accurati garantiscono che tutte le finestre di opportunità, comprese quelle con le maggiori vulnerabilità ed esposizioni finanziarie, siano state sigillate contro possibili attacchi. Il rovescio della medaglia, i risultati imprecisi distorcono la posizione di sicurezza reale di un’azienda lasciandola esposta a minacce che sono state perse o trascurate mentre le risorse inseguono le tane dei conigli alla ricerca di vulnerabilità fasulle.
Le soluzioni MSP di SolarWinds vantano livelli di precisione senza precedenti. Ecco perchè:
- Le soluzioni SolarWinds MSP sono considerate affidabili da oltre 12.000 aziende in tutto il mondo.
- I clienti SolarWinds MSP eseguono oltre 260 milioni di controlli di monitoraggio remoto ogni giorno.
- Le soluzioni MSP di SolarWinds hanno intercettato 8 miliardi di messaggi di spam nell’ultimo anno.
- Le soluzioni MSP di SolarWinds bloccano 1 milione di minacce in quarantena ogni mese.
Sebbene questi parametri di riferimento siano impressionanti, la vera chiave del nostro successo è il modo in cui consentiamo agli MSP di portare i servizi gestiti a un livello superiore con il nostro ampio portafoglio di soluzioni IT all’avanguardia e un modello di prezzo unico.
Che si tratti di utilizzare MSP Risk Intelligence per ottenere la visione di un hacker delle vulnerabilità all’interno delle reti dei tuoi clienti dietro il loro firewall o di una qualsiasi delle nostre altre soluzioni all’avanguardia, ci dedichiamo a proteggere le reti dei tuoi clienti dall’alto verso il basso, all’interno e fuori, permettendoti di concentrarti sulla crescita della tua attività.
Iscriviti oggi stesso per una prova gratuita di MSP Risk Intelligence !
FONTE: Sito web SolarWinds MSP
Adattamento e Traduzione: N4B SRL – Distributore Autorizzato SolarWinds MSP

GDPR e Marketing: la profilazione
Cos’è la profilazione?
- Una è quella dell’articolo 4, punto 4, del GDPR,
- l’altra è presente nelle Linee guida in materia di trattamento dei dati per profilazione online del 19 marzo 2015, stilate dal Garante.
- La definizione del GDPR
- La definizione delle linee guida dell’Autorità Garante
Tornando al nostro esempio. Quando Peppino va in banca a chiedere un prestito, non decide l’addetto, decide l’algoritmo della banca se concederlo o meno.
Cosa deve fare chi fa profilazione per le sue attività di marketing
I diritti degli interessati nella profilazione
- Diritto ad essere informato – Abbiamo già detto che dobbiamo dare un’informativa, in cui diciamo che facciamo profilazione e se ci sono processi decisionali automatizzati.
- Diritto di accesso – L’utente può chiedere di vedere il profilo che è stato creato su di lui o su di lei, quindi non solo i dati personali usati, ma anche quelli che risultano dall’analisi dei suoi comportamenti.
- Diritto alla rettifica e alla cancellazione – L’utente può chiedere che tutto il suo profilo venga cancellato e che i suoi dati vengano rettificati, e in qualsiasi momento può chiedere la limitazione della profilazione.
Attenzione alle discriminazioni
Ma non lo può fare, per legge.

GDPR: Cosa deve contenere un’informativa?
Lo so, non è bello e qualcuno fra chi legge si scandalizzerà, ma per me l’informativa sono le mutande, e guardando le aziende e gli enti in Italia ho capito che sono di tre tipi.
Senza informativa, con l’informativa inadeguata, con l’informativa di un altro
Bene. Allora come deve essere l’informativa? Cosa deve contenere?
I contenuti dell’informativa sulla privacy
1) Chi è l’interessato
L’interessato è la persona fisica a cui si riferiscono i dati personali.
2) Chi effettua il trattamento
È il soggetto che tratterà i dati della persona fisica, cioè il titolare del trattamento e se presente, l’informativa dovrà indicare anche il suo rappresentante.
3) Se nominato, i recapiti del DPO
Il DPO è obbligatorio? Non per tutti. Deve essere nominato obbligatoriamente dai titolari e dai responsabili del trattamento che hanno come attività principale il monitoraggio regolare e sistematico degli interessati su larga scala, che fanno trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati. Hanno questo obbligo, per esempio, le banche, le assicurazioni, le società di revisione contabile, quelle di recupero crediti, partiti e sindacati, caf, ospedali, call center… l’elenco è disponibile sul sito del Garante.
4) Quali sono i trattamenti effettuati e perché
5) Qual è la base giuridica del trattamento
6) Quali sono i dati raccolti
- le informazioni identificative – nome, cognome, data e luogo di nascita, residenza, domicilio, immagini che ritraggono la persona –,
- le informazioni che una volta venivano chiamate dati sensibili – orientamento sessuale, condizioni di salute, origine razziale ed etnica, convinzioni religiose, filosofiche, opinioni politiche, adesione a partiti, sindacati, organizzazioni di varia natura –,
- le informazioni giudiziarie, che possono rivelare l’esistenza di provvedimenti giudiziari
- i dati legati alle nuove tecnologie: dati relativi alle comunicazioni elettroniche telefoniche e internet – come l’indirizzo IP -, i dati che permettono di geolocalizzare una persona, quelli genetici e biometrici.
7) Se il trattamento comporta operazioni automatizzate, come la profilazione
8) Se i dati verranno comunicati a soggetti esterni (responsabili esterni)
L’informativa deve indicare se i dati vengono comunicati ad altri soggetti, diversi dal titolare del trattamento, cioè i responsabili esterni.
Esempio–Michela, lavora in un’azienda metalmeccanica di Albinea che si affida ad uno studio di Reggio Emilia per fare le buste paga. Lo studio paghe quindi è un responsabile esterno: non è necessario che nell’informativa compaia la ragione sociale, la sede e i contatti del consulente ma almeno l’indicazione che i dati di Michela verranno gestiti per obblighi di legge e contrattuali da studi esterni si, fermo restando che Michela potrà sempre chiedere evidenza puntuale ed ecco che i dati dello studio paghe dovranno essere presenti sul Registro dei Trattamenti.
9) Per quanto tempo saranno conservati i dati e in che modo
10) Se i dati saranno trasferiti in altri Paesi e come
11) Quali sono i diritti dell’interessato
-
il diritto a essere informati su come e perché vengono trattati i suoi dati
-
il diritto di accedere ai propri dati
-
il diritto di poter correggere i propri dati
-
il diritto alla cancellazione dei dati da parte del titolare e dei responsabili
-
il diritto alla portabilità dei dati, cioè chiedere che i dati vengano o trasferiti direttamente ad un’altra azienda, quando è possibile tecnicamente
-
il diritto all’obiezione, cioè di chiedere all’organizzazione che elabora i dati personali – sulla base di un proprio legittimo interesse o come parte di un’attività di interesse pubblico o per un’autorità ufficiale – di non utilizzarli
-
il diritto a non essere oggetto di scelte automatizzate, come la profilazione
Chi deve redigere l’informativa?
L’informativa deve essere redatta dai Titolari del trattamento.

GDPR – Come fare telemarketing a norma

Il marketing con i social e gli SMS è telemarketing? No, facciamo alcune distinzioni importanti
Il consenso: quando e come richiederlo

Come fare telemarketing a norma

L’informativa: cosa deve contenere
Articolo tratto dall’intervento dell’Avvocato Francesca Bassa su RAISE Academy.


GDPR – La verifica del registro dei trattamenti
Cos’è il registro dei trattamenti e cosa contiene

Anche perché se si acquisiscono ulteriori dati rispetto alle finalità, la sanzione è fino a 20 milioni di euro!
- Le finalità del trattamento, cioè il motivo per cui raccogli i dati personali. Per fare pubblicità? Per fare altro? Per cosa?
- Le categorie di dati trattati (dati personali comuni, particolari, di credito e così via).
- Le categorie di interessati, cioè delle persone fisiche: sono dipendenti, clienti, prospect?
- I tempi di conservazione: per quanto tempo tratti quei dati?
- Le misure di sicurezza: quali soluzioni fisiche, tecnologiche ed organizzative hai adottato per garantire la protezione dei dati? Esempio. Oggi tutti accedono a tutto: non va bene. Perché poi può succedere quello è che accaduto di recente con la TIM – un caso che è uscito su tutti i giornali – in cui si è scoperto che alcuni dipendenti infedeli sono entrati nel database con le loro password e hanno scaricato centinaia di migliaia di dati personali dei clienti per rivenderli ad altre società. Se mi occupo dei clienti, devo accedere solo ai dati dei clienti. Se mi occupo dei fornitori, devo accedere solo ai dati dei fornitori. Se mi occupo di geolocalizzazione, accedo solo a quei dati. Ai dati dei dipendenti devono accedere solo i dipendenti dell’HR. Ognuno accede ai dati che gli servono per la sua attività lavorativa. E la Guardia di Finanza ci guarda!
- I trasferimenti: i destinatari (persone fisiche o giuridiche) a cui saranno comunicati i dati e il Paese di destinazione. Devi sapere a chi hai comunicato i dati di Peppino, Antonio e Giulia.
- I dati di DPO e Cotitolari
Registro, informativa, sistemi informatici: tutto deve essere allineato
Il registro dei trattamenti deve essere aggiornato, altrimenti non è adeguato

Può essere cartaceo o in digitale, l’importante è che sia immediatamente consultabile
Il Regolamento non prevede particolari formati, quindi il titolare può scegliere liberamente se usare un foglio cartaceo, un foglio Excel, un documento elettronico, un software o altro per redigerlo e aggiornarlo. L’importante è che dia una visione immediata dei trattamenti che vengono fatti. E allora qui anche la scelta del formato ha le sue conseguenze.
Chi è obbligato a istituire il registro dei trattamenti?
Tutti i titolari e responsabili con meno di 250 dipendenti, ma solo se non fanno trattamenti di rischio. Che cosa vuol dire? Vuol dire che possono essere rischiosi per i diritti e le libertà dell’interessato, che il trattamento non sia occasionale o che non riguardi dati particolari (ex sensibili). Quindi, sostanzialmente, sono tenuti all’obbligo di redazione del registro esercizi commerciali, esercizi pubblici o artigiani che hanno almeno un dipendente – bar, ristoranti, officine, negozi e così via – o che trattano dati sanitari dei clienti: parrucchieri, estetisti, ottici, odontotecnici, tatuatori. Ma anche i liberi professionisti con almeno un dipendente o che trattano dati sanitari o relativi a condanne penali o reati: commercialisti, avvocati, medici in generale, fisioterapisti, farmacisti, osteopati e così via. Sono obbligati anche associazioni, fondazioni, comitati che trattano dati particolari – associazioni che tutelano malati, persone con disabilità, associazioni sportive, partiti, sindacati e così via – e anche i condomini che trattano categorie particolari di dati, per esempio in caso di delibere per l’abbattimento di barriere architettoniche.
In generale, il Garante raccomanda la redazione del registro – in forma completa – a tutti i titolari e responsabili del trattamento.


GDPR – Standard Security Clauses (SSC): cosa sono

Trasferimento dei dati all’estero VS trasferimento transfrontaliero dei dati: quali sono le differenze
Invece, se il dato viene trasferito al di fuori dell’Unione Europea, le cose si complicano e si entra nell’ambito del trasferimento di dati all’estero.
Trasferimento dei dati all’estero: la White List dei Paesi adeguati

Quali sono i criteri in base ai quali l’Unione Europea decide se un Paese estero è adeguato o meno? Le decisoni vengono prese sulla base:
- delle norme in materia di privacy che ha adottato,
- degli impegni internazionali che ha sottoscritto,
- di come vengono applicate e rispettate queste norme.
Se il Paese risulta adeguato, la Commissione lo inserisce nella sua White List, che in questo momento comprende solo 15 Paesi e territori. Ma la White List non è immodificabile nel tempo.
Paesi fuori dalla White List e Standard Security Clauses


GDPR – Obiettivo: come fare (bene) il DPO

Per questo, la formazione per questo ruolo è particolarmente importante. Corsi e master non mancano, ma forse manca la qualità: la maggior parte dei corsi spesso non riesce a calare la teoria in modelli pratici da seguire nel lavoro giornaliero di un DPO.
La legge ci dice che il DPO deve:
- informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che trattano i dati personali;
- sorvegliare l’osservanza della normativa comunitaria e nazionale nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento riguardanti anche “l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”;
- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
- cooperare con l’autorità Garante nazionale;
- fungere da punto di contatto per l’autorità Garante nazionale per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.
Si capisce bene che l’ambito di lavoro è veramente vastissimo ed il tutto è confermato dall’Autorità Garante: ”il DPO deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il Titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare”. Garante dixit.
DPO: i requisiti (Ovvero cosa deve sapere)
Quindi quali SKILLS (oggi è di moda chiamarle così) devo avere? Quali corsi mi conviene frequentare?
Una prima considerazione da fare è sottolineare un aspetto che sembra sfuggire a molti, in relazione alla professionalità che il DPO deve possedere: a seguito della nomina ricevuta come DPO, infatti, molti ritengono di poter integrare le proprie competenze attraverso seminari, corsi, letture, ecc., ricercando patacchine e certificatucoli che poco hanno a che vedere con la capacità effettiva di riuscire a gestire ambiti complessi.
Se il vostro obiettivo è la PATACCA, ci sono decine di corsi di formazione e seminari per ottenerla.
Se il vostro percorso di formazione sta invece iniziando adesso, le prime conoscenze che vi servono partono dall’integrazione dei vocabolari.
Cosa intendo come Vocabolario? Intendo quell’insieme di definizioni, di metodi e di interpretazioni che sono alla base di questa professione in tutti e tre gli ambiti su cui il DPO opera (Legale, Tecnologico ed Organizzativo). Significa avere una solida padronanza almeno teorica di tutti gli argomenti ed aver quindi consolidato un metodo efficente per ricercare e valutare le fonti corrette ed efficaci.
ATTENZIONE: googolare “cosa significa accountability” oppure “l’antivirus è una misura obbligatoria per il GDPR?” NON è un metodo efficace.
Quindi a partire dalle competenze che avete, serve una formazione che integri le basi mancanti e vi dia la possibilità di capire cosa è giusto e cosa non lo è e vi permetta di valutare le fonti.
Conoscere i “vocabolari”, serve per poter disimpegnare i complessi compiti devoluti a questa figura, nella maggior parte dei casi occorre la presenza di diversi approfonditi saperi specialistici riferiti non solo al settore giuridico ma anche organizzativo, manageriale e tecnologico.
Verifica chi ti sta formando: è un DPO? Da quale ambito proviene?
La scelta di dove formarsi sui vocabolari deve basarsi sulla esperienza effettiva di chi sta erogando il corso.
Il docente è FONDAMENTALE. E’ un legale? Un informatico? Bene, ma non basta. E’ DPO? Dove? Fa formazione in Aula da quanto?
Queste domande sono fondamentali per definire se il Docente è in grado di trasferirci un vocabolario corretto, adeguato e non una rilettura a slide più o meno sistematica della legge o della tecnica.
Non serve a nessuno sapere tecnicamente come fare un HASH di un FILE, né che l’art 32 del GDPR ci dice questo e quell’altro (a leggere siamo capaci tutti, si spera!), ma serve avere approfondimenti operativi su come valutare l’aderenza di certe misure all’art 32 ad esempio.
Ci serve sapere quali sono i modi d’uso di una pec, cosa si intende per Accountability e come da DPO possiamo verificarla.
Una volta che padroneggiate i vocabolari nei tre ambiti, Legale, Tecnologico ed Organizzativo, è venuto il momento di cominciare a fare sul serio.
Come posso accrescere la mia competenza?
Ecco quindi che i corsi che ci possono servire debbono essere quelli con una fortissima impronta operativa, quelli che hanno workshop interattivi che ci mettono alla prova con casi pratici, quelli che ci portano esempi pratici di verifica, di ispezioni ricevute, di comportamenti da tenere, da attenzionare, di come sminare e gestire aspettative spesso non corrette dell’azienda che vede il DPO come il tuttofare della Compliance GDPR dell’azienda, quando è più un controllore di buone prassi.
In soldoni la formazione:
- deve farci crescere nell’operatività da DPO, ci deve fornire una serie di domande con le risposte incluse e una metodologia semplice, chiara e basata su una reale esperienza per riuscire a rispondere alle domande di cui ancora non abbiamo risposta.
- deve sempre avere una parte di workshop per permetterci il confronto con altri DPO con il docente. Ci deve essere la possibilità di simulare e di accedere ad un Know How che deve essere condiviso dal docente.
- ci deve aiutare a creare la nostra cheklist e ci deve aiutare a identificare gli strumenti che permettono di lavorare in efficienza.
Corsi per DPO: RAISE ACADEMY scopri la proposta formativa di PrivacyLab
RAISE ACADEMY è la nuova proposta formativa di PrivacyLab, un modello di formazione efficace che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
REGISTRATI E SCOPRI RAISE ACADEMY – https://www.raiseacademy.it/
FONTE: PrivacyLab BLOG – contributo di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

GDPR – Phishing: cos’è, come riconoscerlo e come evitarlo
Cos’è il phishing
1) Invio massiccio di mail fasulle

2) Invio di SMS con un link per accedere ad un sito web fasullo
3) Attraverso un virus informatico
Come riconoscere un tentativo di phishing e come evitare di cadere nel raggiro?

- Controlla l’URL del link (l’URL è la stringa di testo del link, per esempio: https://nome.sito.it/)
- Fai attenzione ai link che iniziano con l’indirizzo IP
- Non compilare mai i campi all’interno di una mail
- Non aprire gli allegati di mail che non hai richiesto o che non conosci
- Non rivelare a nessuno le tue password e cambiale spesso
- Usa un antivirus e un software anti-phishing (e tienilo aggiornato)


GDPR – Covid-19: la scelta degli strumenti per gestire la Fase 2
Come scegliere gli strumenti per misurare la temperatura all’ingresso
Fondamentalmente, ci sono 3 tipologie di strumenti e quindi 3 diversi impatti sul GDPR:
È chiaro che se Peppino, l’addetto che misura la temperatura, non segna nulla, poi torna in ufficio e scrive una mail la titolare per dirgli “Guarda che Antonio è venuto a lavorare anche se aveva la febbre a 38 e l’ho rimandato a casa”, allora è un problema. Perché c’è un trattamento di dati personali. Quindi chi misura la temperatura deve essere formato e deve sapere che non deve scriverla da nessuna parte, neanche su carta di formaggio, altrimenti passa dei guai!
Qui, invece, l’impatto sul GPDR c’è. E ti obbliga ad aggiornare il registro, a nominare gli addetti perché avrai un archivio in più ed un trattamento aggiuntivo. Ti obbliga a verificare che il trattamento sia a norma, a fare la DPIA (Data Privacy Impact Assessment) (LEGGI QUI)e ad aggiornare eventualmente le informative, perché potrebbe essere un trattamento aggiuntivo che non avevi previsto. E chiaramente devi anche scrivere un protocollo per dare evidenza che tutti quelli che sono entrati, sono stati sottoposti ad una procedura per capire se fossero idonei all’ingresso oppure no. Se decidi di registrare l’idoneità è una cosa che va fatta.
Idem per il fornitore del Cloud (perché ci sono dei termoscanner che addirittura salvano in Cloud i dati!). E poi dovrai creare un protocollo, per dare evidenza di aver gestito in maniera puntuale le misure di sicurezza per la riapertura.
Termoscanner e GDPR: occhio allo strumento che scegli!
- Quali dati gestisce il termoscanner?
- Dove risiedono fisicamente queste informazioni? Sono salvate nel termoscanner? Il termoscanner non salva niente? Se è fatto in Cina, salva i dati in Cina?
- Il termoscanner salva dei video e delle immagini, oltre alle idoneità?
- Il termonscanner spara l’idoneità in Cloud?.
- Chi vede queste informazioni? E come le vede?


Però poi devi aggiornare il registro, l’informativa, fare la DPIA eccetera eccetera. Sta a te decidere.
Quindi devi attivarti per gestire il termoscanner come se avessi attivato la videosorveglianza, oltre a tutto quello che riguarda i trattamenti Covid.

- Devi verificare che i dati che vengono salvati in Cloud siano esattamente quelli corretti. Quindi, non deve essere salvata la temperatura, deve essere salvata solo l’idoneità.
- Devi fare tutta la trafila per il Cloud per verificare il fornitore, nominarlo responsabile esterno, verificare che sia adeguato e devi gestirlo come un fornitore di videosorveglianza che salva i dati in Cloud. È una cosa che si può fare – basta che non ci sia registrata la temperatura, se c’è la temperatura: no, non si può fare! – ma io tenderei personalmente a non farlo. Se decidi di farlo, l’importante è che tutta la catena di responsabilità sia stata resa chiara, evidente, gestita, condivisa e sicura. Cioè devi avere una responsibility chain chiara.

Forse devi aggiungere qualcosa anche nel registro dei trattamenti, indicando l’archivio in cui sono registrate le idoneità. Se poi l’archivio è in Cloud, dovrai nominare responsabile esterno chi gestisce il Cloud.


Le persone non idonee sono quelle che non hanno la mascherina e/o hanno una temperatura superiore a 37.5. Quindi, salvando l’idoneità, sei assolutamente a posto.
Gestione dei dati e termoscanner che salvano le immagini: io ci starei lontano
Attenzione agli strumenti col bollino! Non è detto che siano conformi al GDPR
Come si verifica il fornitore del dispositivo che misura la temperatura?
Non devi verificare la qualità tecnica del fornitore. Devi verificare che l’azienda e il suo prodotto abbiano le caratteristiche adeguate a trattare i dati che tu, come titolare, hai scelto di trattare. Quindi:
Ogni tot di tempo hai l’obbligo di verificare il fornitore. Verifichi se i trattamenti che sta facendo per te sono ancora compliant. E come fai a verificarlo? Ad esempio, chiedendo il documento di Compliance aziendale. Se poi è un fornitore che fa la manutenzione, serve anche la nomina da amministratore di sistema, che è tornata prepotentemente fuori, perché la Guardia di Finanza sta iniziando a chiederla in maniera puntuale e precisa.
Come scegliere gli strumenti digitali che registrano i questionari
- capire se salva i dati
- e se salava i dati, quali dati sono e dove li salva
- chi li vede e come
- nominare il fornitore responsabile esterno
- verificare l’adeguatezza del fornitore

GDPR – Come si è arrivati al GDPR: dalla privacy al Regolamento

1890, “The Right to Privacy” e la differenza tra protezione del dato e diritto alla privacy
La differenza tra privacy e protezione del dato personale
- quando parliamo di privacy e di riservatezza intendiamo la tutela della sfera privata secondo la tradizione americana,
- mentre la protezione del dato riguarda tutte le informazioni su una persona.
Costituzione italiana (1947) e Convenzione CEDU (1950): tutela della sfera privata dallo Stato
1978 e 1981. Le prime norme sulla protezione dei dati personali
1992. CE, Mercato unico, libera circolazione delle merci, delle persone e dei dati personali
La differenza tra direttive e regolamenti
- Le direttive sono vincolanti per gli Stati nei fini, ma non nei mezzi; quindi fissano l’obiettivo, ma lasciano ai singoli Paesi uno spazio di interpretazione molto ampio e la possibilità di adottare norme nazionali che recepiscono le indicazioni della direttiva.
- I regolamenti sono immediatamente vincolanti in tutto il territorio dell’UE, senza atti di recepimento, in modo uniforme (quindi è come se fossero delle leggi emanate dal Parlamento, solo che valgono per tutti i paesi dell’Unione).
Direttiva 46 del 1995, Codice Privacy e Trattato di Lisbona (2007)
2016. Regolamento generale sulla protezione dei dati (GDPR) e Codice novellato
- Il trattamento di dati sensibili (oggi particolari): dati genetici, dati sulla salute, l’orientamento sessuale, le convinzioni religiose, le opinioni politiche eccetera.
- La disciplina dell’Autorità: ogni Stato ha un’autorità – un organo nazionale – che garantisce la tutela dei dati personali, ma l’UE non può imporre un modello unico uguale per tutti i Paesi. Ogni Stato alle sue regole costituzionali. Per esempio, in Italia l’Autorità Garante viene nominata dal Parlamento. Quindi questo aspetto resta in capo ai singoli Stati.
- Parte della disciplina sulle sanzioni. L’UE non ha competenze penali, che spettano ai singoli Stati – è il principio di Sovranità dello Stato – quindi può comminare solo sanzioni amministrative. Una sorta di multa. Però, nei casi più gravi, ha dato la possibilità ai singoli Stati dell’UE di prevedere una sanzione penale che viene data dal giudice, non dall’Autorità Garante (che resta un organo amministrativo e che quindi non si occupa di reati penali).
- Il sistema della Soft Law, cioè di tutti gli atti che non provengono dal legislatore – nel caso italiano dal Parlamento – ma da altri soggetti. Questi atti sono strumenti che servono a rispettare gli obblighi di legge. Per esempio, in Italia sono i codici deontologici delle varie categorie professionali, le autorizzazioni generali del Garante, le normative di condotta e i sistemi di certificazione.