GDPR – Trasferimento dei dati all’estero e Garanzie Essenziali Europee – After Schrems II

Sono uscite le sentenze Schrems I e Schrems II. Quindi, oggi, sappi che trasferire dei dati in America – USA – è un po’ come trasportare la droga da un paese all’altro: bisogna stare attenti. O sei autorizzato o altrimenti “ti ingabbiano” (o quasi). Bene. L’EDPB (European Data Protection Board) ha definito quali sono le garanzie essenziali europee da rispettare quando si GDPR – Trasferimento di dati all’estero e Privacy Shield, cioè quando si trasferiscono informazioni sui cittadini europei al di fuori dell’UE.

Cos’è l’EDPB?

È il Comitato europeo per la protezione dei dati. Riunisce le Autorità dei vari Stati membri dell’UE che hanno il compito di tutelare la protezione dei dati personali e la privacy: Garante italiano, Garante francese, tedesco e così via.

Cosa sono le garanzie essenziali europee?

Sono le garanzie che devono essere rispettate per essere sicuri che, nel trasferimento di dati personali all’estero, le ingerenze delle autorità pubbliche di controllo dei paesi terzi – l’FBI e gli altri – “non eccedano quanto necessario e proporzionato in una società democratica e che siano giustificabili per le norme europee”.
In soldoni: che i dati personali di Antonio, di Peppino e di Giulia, se finiscono in un server in California, siano tutelati e che vengano protetti rispettando un livello di sicurezza in linea con quello europeo.
Questo è il quadro. Cosa bisogna fare quando si traferiscono dati all’estero?
Come essere tranquilli che il paese terzo rispetti le garanzie essenziali europee?
Ne hanno parlato in un LIVE di Raise Academy, l’Accademia formazione efficace di PrivacyLab, Andrea Chiozzi, CEO di Privacylab e Christopher Schmidt, Avvocato e DPO, che ha lavorato anche per l’Autorità garante per la protezione dei dati dell’Assia. Ecco un estratto della LIVE……

Oggi, trasferire dati in USA è considerato “non sicuro”

Andrea Chiozzi: La Corte di giustizia europea è uscita con la sua sentenza: la Schrems II. Secondo me per l’80% ha deciso col buon senso, ma io ci metto un 20% di sciocchezza, perché – parere mio – è un po’ fuori dal tempo… Però per l’80% la decisione è stata assolutamente corretta: c’era da dare un freno a uno strapotere di alcuni (leggi le multinazionali americane) nel trattamento di dati personali. Questa situazione ha fatto scatenare il panico e ha fatto sì che gli USA siano diventati non sicuri. Il tema, quindi, è di grande attualità. In questo momento, qual è la tua più grande preoccupazione legata al trasferimento dei dati e alla gestione dei dati personali, quando li dobbiamo dare a qualcuno al di fuori dell’UE?

Christopher Schmidt: È diventato tutto talmente complesso che non so più come spiegarlo in modo semplice. Ci sono limiti mentali, tecnici, legali, economici e ho paura che la protezione dei dati non sia compresa, a causa della frammentazione delle fonti pubblicate dalle Autorità e della complessità della materia. Le persone cercano risposte semplici a domande difficili, ma non c’è mai una soluzione semplice.

Andrea Chiozzi: Sono assolutamente d’accordo: si è alzata l’asticella dell’attenzione e non sempre la stessa soluzione è applicabile a tutti i contesti. Ognuno deve guardare quello che fa effettivamente e scegliere la sua strada. Ora, con la sentenza Schrems II, essendo gli USA uno Stato non sicuro, secondo te, l’unica soluzione che abbiamo per poter trasferire dei dati in America è basarci sull’art. 49 o vedi uno scenario più ampio di questo?

Christopher Schmidt: Non c’è solo l’articolo 49 del GDPR. Si possono applicare anche altri metodi e usare altri strumenti. Per esempio, l’art 45 e l’art 46, che aiutano ad analizzare e mappare i propri trasferimenti. Si possono usare le Standard Security Clauses, le clausole tipo, ad esempio, e adottare se possibile un codice di condotta.

Standard Security Clauses e trasferimento di dati all’estero. Occhio che non ci sono solo gli USA…

Andrea Chiozzi: È cambiato qualcosa sulle Standard Security Clauses? Pensi siano ancora un buon punto di partenza? Per esempio, io adesso sto consigliando così: se vuoi trasferire il dato in una struttura che sta in America e ha i server in America, pensaci due volte…
Christopher Schmidt: Il primo passo è chiedersi: di quali paesi stiamo parlando? Per esempio, se si tratta del Canada, va bene. Siamo tranquilli. Per ora c’è una decisione di adeguatezza. Anche per il Regno Unito c’è, ma solo fino a fine aprile 2021, dopo non sapremo se il livello è adeguato. Le Standard Security Clauses sono importanti, ma basarci solo su queste clausole tipo non basta. Ci serve soprattutto una valutazione d’impatto del trasferimento. Quali conseguenze ci sono se i dati vengono trasferiti in un paese terzo? Può esserci un rischio? Per esempio, può esserci un rischio talmente grande – perché le misure sono incompatibili con le regole europee – che il trasferimento non è proprio possibile. E se si decide di fare il trasferimento usando misure ulteriori, va documentato.

Andrea Chiozzi: Sono d’accordo sul fatto di essere consapevoli e di dare evidenza del passaggio che si è fatto. Oggi dire “I dati devo darli a Google, per forza…Come faccio a non darglieli?” non va più bene né per le grandi strutture, né per le piccole. Non è semplice, ma l’importante è dare evidenza e sapere a chi stiamo dando i dati (Leggi il contributo GDPR – Covid-19: la scelta degli strumenti per gestire la Fase 2. )
Non basta guardare se il fornitore sul suo portale web dice “Io sono a norma GDPR” per essere sicuri che sia a norma. MailChimp, per esempio, è uno di quelli che dice di essere a norma ma, secondo me, è lontano dall’esserlo, in questo momento. E l’Autorità garante tedesca si è espressa da poco proprio su MailChimp, dichiarando illegittimo il trasferimento dei dati in USA.

Christopher Schmidt: Mostrare che stiamo facendo progressi è importante. Ma non siamo noi, le imprese e i privati, che hanno bisogno di usare, per esempio, un servizio di videoconferenza, a decidere. Al momento, dato che in Europa non ci sono servizi alternativi, dobbiamo per forza servirci di quelli realizzati da fornitori nei paesi terzi. Sono le Autorità a verificare se i paesi terzi – USA e Cina per esempio – rispettano le garanzie essenziali europee e per questo ci vorrà un po’ di tempo.

Informativa chiara, semplice e trasparente SEMPRE, anche quando comunichi che c’è un trasferimento di dati all’estero

Andrea Chiozzi: Ritieni che debbano essere cambiate anche le informative agli interessati? Nell’informativa dobbiamo dire, ovviamente, che c’è un trasferimento di dati all’estero. Ma secondo te dobbiamo inserire anche la base giuridica? Perché, in Italia, a mio parere, alcuni consulenti nell’informativa stanno iniziando ad elencare in maniera pericolosa – non dico sbagliata, ma pericolosa – qual è l’articolo che ti permette di fare il trasferimento. Quando oggi potrebbe essere un articolo del Regolamento, domani un altro e così via. E dopo i titolari sono sempre costretti a cambiare le informative… Secondo te, nell’informativa, basta dire: “Guarda, trasferisco questi dati all’estero, se vuoi altre informazioni, me le chiedi”. Oppure bisogna mettere tutto nell’informativa?
Christopher Schmidt: Se dai 40 pagine all’interessato e dici “leggitela” è tutto facile… Ma io penso alla trasparenza. Penso all’interessato che si scarica un’applicazione e si deve leggere 40 pagine senza capire nulla e che finisce per chiedersi ”Cosa volete dirmi?” Bisogna semplificare le cose, senza promettere il mondo, dicendo da noi è tutto sicuro, non succederà nulla, tutto va bene… L’informativa deve essere breve, chiara, senza semplificare troppo e adattata al contesto: sulla App c’è poco spazio, sul sito web ce n’è di più, il testo va adattato al mezzo e al contesto. Poi diamo la possibilità di approfondire. Attenzione, però, che in molti casi, le misure tecniche usate per tutelare i dati sono protette. Non puoi parlare delle misure tecniche che sono state implementate. Attenzione a questi dettagli. Ed è importante aggiornarla spesso.

Un settore in cui si multa tanto sono proprio le informative: attenzione a farle comprensibili, semplici e oneste. 

Quali sono i rischi per chi trasferisce dati all’esterno? 
Cerchi esempi, casi concreti di aziende, informazioni su piattaforme, tools e strumenti?
Ascolta l’intervista completa su Raise.

Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l’Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
FONTE : BLOG Privacylab – Di Andrea Chiozzi – CEO Privacylab
Articolo tratto dall’intervento di Christopher Schmidt su RAISE Academy.
Adattamento: N4B SRL – Distributore Privacylab
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

GDPR – Trasferimento di dati all’estero e Privacy Shield

La Corte di Giustizia Europea ha annullato la decisione della Commissione Europea che dichiarava adeguato l’accordo Privacy Shield per i trasferimenti di dati tra Unione Europea e Stati Uniti. E adesso cosa deve fare chi usa Google, Amazon e tutti i servizi con server americani? Perché trattare dati e inviarli a fornitori USA, oggi, vuol dire fare un trasferimento di dati all’estero senza avere la base giuridica.

Questo argomento è stato al centro della LIVE di Raise Academy di Privacylab che ha visto protagonisti Andrea Chiozzi CEO di Privacylab, l’Avvocato Luca Bolognini Presidente dell’Istituto Italiano per la Privacy e Founding Partner ICTLC ed il Dottor Luigi Montuori Dirigente del Servizio relazioni comunitarie e internazionali presso l’Autorità Garante per la protezione dei dati personali.

Di seguito un estratto della LIVE….

È caduto il Privacy Shield. E adesso?

Andrea Chiozzi: Qual è in questo momento la vostra più grande preoccupazione legata alla decisione della Corte di Giustizia Europea?

Avvocato Bolognini: A me preoccupano le ricadute operative per aziende, enti, professionisti e semplici utenti privati dei servizi, che rischiano di veder disattivare funzionalità comode, utili e in alcuni casi abilitanti l’esercizio dei diritti e delle libertà, se la sentenza della Corte di Giustizia Schrems II viene interpretata in maniera molto rigida. Appena letta la sentenza, anche io sono saltato sulla sedia. Poi, quando sono uscite le FAQ dello European Data Protection Board, ho tirato un sospiro di sollievo, perché ho trovato quella proporzionalità e quella ragionevolezza che mi aspettavo. Perché sono saltato sulla sedia? Be’ io penso che si possa criticare una sentenza della Corte di Giustizia sul piano giuridico e sono felice, occupandomi di questa materia, quando questi temi vengono trattati dal massimo organo giurisdizionale dell’Unione Europea. Di primo acchito, però, ho visto nelle pieghe di quella sentenza e delle sue motivazioni, forse una qualche sproporzione nel peso dato al diritto della protezione dei dati, rispetto al bilanciamento con altri diritti e libertà personali. Anche le istituzioni europee hanno il dovere di procedere e di decidere sempre rispettando il principio di proporzionalità. Ce lo dice l’articolo 5 del Trattato sull’UE e l’articolo 52 della Carta dei diritti fondamentali dell’Unione Europea.

Quindi, anche la Corte di Giustizia dell’UE, nel formulare un giudizio, dovrebbe considerare le conseguenze di ciò che la propria decisione può comportare sulla tutela di altri diritti e libertà fondamentali ed inviolabili, penso alla libertà di espressione, tra le tante. Mi è sembrato che in quella decisione, la Corte abbia guardato un po’ troppo al perimetro della protezione dei dati personali e non troppo bilanciando con altri diritti e libertà. Per il resto, la Corte di Giustizia fa il mestiere di chi interpreta e applica di diritto dell’Unione Europea, che è scritto in maniera forse migliorabile in certi punti. Non è certo responsabilità della Corte nell’interpretare il diritto esistente.
Senza proporzionalità e gradualità, rischiamo di fare lo switch-off di servizi che sono essenziali per la nostra produzione, per i nostri uffici, ma anche per l’esercizio di altri diritti degli utenti. Quindi una soluzione tranciante non mi pare la strada giusta e non mi pare neanche nello spirito dei trattati.
Dottor Montuori: Nel 2016, dopo la prima decisione che riguardava il Safe Harbor, ho avuto il piacere e l’onore di ascoltare il giudice che aveva preso la decisione che aveva generato il panico nelle lobby delle ambasciate americane in tutti gli USA e le preoccupazioni degli organismi confindustriali. Erano tutti preoccupati per le ripercussioni della decisione. Le ripercussioni non riguardavano solo le aziende USA, ma anche le nostre. Mi colpì quello che ci disse “Non crediate che non abbia ricevuto pressioni. Ho ben presente le preoccupazioni. Ma sono un giudice. Io devo prendere decisioni e fare valutazioni. Dovevo decidere se il Safe Harbor fosse in linea o meno con quanto previsto nei trattati. E non avevo dubbi che quei parametri fossero violati al 100%, quindi non potevo fare un passo indietro. Io faccio il giudice.” Quindi, di fatto, non è solo la Corte di Giustizia che fa il suo lavoro. Il problema è quello che viene fatto a monte.

Base giuridica e clausole contrattuali

Andrea Chiozzi: Ho assistito a semplificazioni selvagge su come affrontare il Privacy Shield che vanno dal “fregatene, tanto non è cambiato nulla” al “Bene gli USA sono considerati uno Stato non sicuro, quindi blocchiamo tutto!”. Ai sensi del GDPR, per fare un trasferimento, dobbiamo considerare le condizioni poste dall’articolo 49? O la situazione è più complessa? Potete darci qualche indicazione generale?

Dottor Montuori: Come ha fatto del male, la Corte di Giustizia con la sentenza sul Privacy Shield ha fatto anche del bene: ha detto che le clausole contrattuali standard vanno bene. Poi ha detto: nonostante il Privacy Shield, esiste ancora la legislazione degli USA che comunque non dà quelle garanzie richieste ai nostri dati, nel momento in cui arrivano in America e sono trattati da soggetti titolari del trattamento come società di telecomunicazionisocietà che gestiscono internet e posta elettronica. Per questi soggetti la normativa USA prevede delle deroghe nei diritti e quindi, per fini di sicurezza nazionalelo Stato può acquisire le informazioni personali in modo molto libero. È per questo motivo che il Privacy Shield non vale, ma tutto il resto sì.

Quindi la palla torna ai titolari del trattamento e alle autorità garanti. E cosa devono fare i titolari del trattamento? Per prima cosa devono verificare qual era la base giuridica che usavano nel momento in cui trasferivano dati verso gli USA e vedere se lo facevano in base al Privacy Shield.
Se è così, adesso non hanno la base giuridica. Quindi non possono usarla e devono vedere se ce ne sono altre.

Le clausole contrattuali standard sono tuttora valide: nel momento in cui uso le Standard Security Clauses (SSC) e voglio trasferire dati negli USA, il fatto che la normativa USA non sia in linea non mi pregiudica il fatto che io possa usarle.

Quindi io titolare cosa devo fare? Devo vedere se le circostanze, il tipo di dati che tratto, le modalità con cui faccio il trasferimento, le misure che posso introdurre, possono rendere legittimo questo trasferimento.

Cosa abbiamo fatto come Garante. Abbiamo pubblicato subito un documento con dei chiarimenti, e poi abbiamo detto: guardate che poi ci riuniremo per ulteriori chiarimenti.

Andrea Chiozzi: Le Standard Security Clauses restano valide quindi e se sì, in che modo?

Avvocato Bolognini: Restano valide e non c’è dubbio. Il problema è che la valutazione viene rilanciata nelle mani delle autorità e nell’accountability dei titolari. Sono d’accordo col Dottor Montuori e credo che si possa fare qualcosa nella farcitura delle appendici.
Mi spiego. I provider USA possono essere controllati dallo Stato USA e sarebbe assurdo pensare che quello che non è riuscito a fare il Privacy Shield – un grande accordo governativo – potrebbe farlo un semplice contrattino tra le parti. Ma con quelle che ho chiamato farciture si potrebbe includere nell’appendice delle SSC, per esempio, la previsione di particolari tipi di misure tecniche che tolgano dalla disponibilità del provider l’accessibilità dei dati in chiaro.
Dottor Montuori: Non esistono solo gli USA e l’UE. Cosa succede al di fuori dell’UE? Già da oggi come facciamo quando trasferiamo dati che non hanno ottenuto il riconoscimento di adeguatezza della Commissione Europea? Al di là dell’adeguatezza del Paese terzo, abbiamo anche altri strumenti:
  • le clausole contrattuali tipo, che sono anch’esse adottate dalla Commissione Europea: clausole tipo di protezione dei dati che vengono incorporate in questi contratti, stipulati tra titolare o responsabile che sta in UE ed esporta il dato, ed il titolare o responsabile, che è un importatore e sta nel paese extra-UE. Devono contenere garanzie adeguate, essere vincolanti e azionabili dagli interessati, evitando di richiedere delle autorizzazioni nazionali. Quindi sono utilizzabili immediatamente purché non vengano modificate.
  • Poi c’è uno strumento in Italia poco usato, ma che lo è molto fuori dall’UE: le norme vincolanti d’impresa (Binding Corporate Rules, BCR) disciplinate dall’art 47 del Regolamento, approvate dall’Autorità nazionale competente, che regolano i flussi interni ad un gruppo multinazionale di imprese, cioè i flussi interni al gruppo a livello mondiale. Devono essere norme vincolanti e prevedere diritti azionabili da parte degli interessati.

E le web agency: cosa devono fare?

Andrea Chiozzi: Abbiamo una situazione dove tante piccole aziende, che erogano servizi di comunicazione digitale, utilizzano strumenti che trattano dati di persone fisiche su server americani: web agency che fanno siti web, usano il Pixel di Facebook per recuperare e gestire dati personali per conto di un titolare che magari vende online. Come devono procedere? Devono comunicare al titolare che sta usando strumenti in America in modo che decida cosa fare? Come possono lavorare? Usare solo provider europei?

Avvocato Bolognini: Le situazioni che menzioni sono particolari, ma frequentissime. Riguardano la millefoglie delle subforniture. Finché il mio rapporto giuridico è diretto col provider extra UE mi porrò io questi problemi. Stringerò clausole standard e misure ulteriori. È vero che spesso la filiera si allunga. Per esempio, è il caso della web agency italiana o della software house, che si avvale di un Cloud extra UE. Resta sempre al titolare del trattamento la responsabilità. E dire “non lo sapevo” non è abbastanza né sufficiente, perché deve indagare ed esigere di sapere chi sono i subfornitori di tutte le componentistiche del servizio. Tuttavia, l’art 28 del GDPR prevede una forma di responsabilizzazione anche in capo al responsabile del trattamento e dei sub responsabili del trattamento. Il responsabile del trattamento deve segnalare al titolare del trattamento se ci sono elementi che possono rivelarsi in contrasto con la normativa o se le sue istruzioni non sono conformi con gli obblighi del trattamento.

È vero che sono adempimenti che incombono soprattutto sul titolare, ma un responsabile del trattamento professionalmente e sistematicamente impegnato, non può dire “non sapevo di dover segnalare al titolare” oppure “nel contratto di servizio, il titolare non mi ha chiesto espressamente di segnalare queste cose.” È prevista comunque una perizia, una diligenza nei comportamenti, che non può esimerlo dal fatto di dire che c’è un trasferimento di dati all’estero. È previsto che siano proattivi in questo senso. Quindi: massima responsabilizzazione del titolare del trattamento ma responsabilizzazione anche dei fornitori.

FONTE : BLOG Privacylab – Di Andrea Chiozzi – CEO Privacylab
Articolo tratto dall’intervento dell’Avvocato Luca Bolognini e del Dottor Luigi Montuori su RAISE Academy.
Adattamento: N4B SRL – Distributore Privacylab
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

PRIVACYLAB – LE NOVITA’ DEL TOOL LINCE ( Gestione Responsabili Esterni)

Cari Rivenditori,
N4B SRL – Distributore Privacylab – è lieta di comunicare che il tool per la gestione della compliance GDPR PrivacyLab ha introdotto due importanti novità all’interno del nuovo strumento LINCE per la gestione dei responsabili esterni.
La prima riguarda gli utenti superuser: è stata rilasciata la possibilità di creare dei template per il questionario, da poter poi riprodurre su tutte le aziende associate al superuser. Questa funzione è molto utile per non dover ricostruire ogni volta i vostri questionari su ogni azienda.
La seconda interessa i singoli campi del questionario: consiste nel poter rendere obbligatoria una domanda e nel decidere l’importanza delle sue risposte.
Se infatti decidete di voler rendere obbligatorio un quesito al vostro responsabile esterno, occorrerà trascinare la barra a lato della domanda fino al massimo (come indicato nell’immagine sotto!).
Se invece volete definire una risposta come fondamentale (e quindi non tenere in considerazione le altre opzioni), è necessario aprire la relativa sezione “Modifica” e poi  selezionare il flag su “Risposta fondamentale” (come indicato nell’immagine sotto!). In questo modo, se il responsabile esterno compilerà il questionario senza selezionare la risposta che avete messo come fondamentale, questa vi verrà segnalata in rosso nella verifica del questionario.
CONTATTACI PER SAPERNE DI PIU’ : commerciale@n4b.it
FONTE: Privacylab
Read More

RISK INTELLIGENCE – Il tool per la valutazione delle vulnerabilità interne di SolarWinds MSP

26Gli MSP proattivi dovrebbero condurre valutazioni interne della vulnerabilità  per aiutare i clienti a proteggere le proprie reti dall’interno, soprattutto se sono soggette ai requisiti PCI DSS. Gli attacchi esterni e le violazioni della rete sono diventati così pubblicizzati che molte organizzazioni potrebbero trascurare l’importanza della sicurezza interna e dell’analisi dei rischi.

L’aggiunta di valutazioni di vulnerabilità interne al tuo portafoglio di prodotti ti consente di identificare dove i tuoi clienti sono più vulnerabili agli attacchi interni, portando un altro flusso di entrate nella tua azienda.

 

L’importanza della gestione delle vulnerabilità interne

A differenza delle valutazioni di vulnerabilità esterne, che si concentrano sugli aggressori esterni che tentano di penetrare in un’azienda, una valutazione di vulnerabilità interna valuta la sicurezza IT dall’interno. Esamina i modi in cui le persone che si trovano all’interno dell’azienda possono sfruttare la rete e le risorse di dati di un’azienda.

Condurre una valutazione interna della vulnerabilità consente alle aziende di porre rimedio alle vulnerabilità contro:

  • Attacchi interni intenzionali (ad esempio, da parte di dipendenti, partner scontenti, ecc.).
  • Attacchi involontari (come la cancellazione accidentale di dati sensibili).
  • Virus, malware e altri attacchi esterni che sono stati in grado di violare i confini della sicurezza della rete.

Scansione delle vulnerabilità: un’opportunità da non perdere per gli MSP

Offrire valutazioni interne della vulnerabilità può aprire un flusso di entrate redditizio per gli MSP, a condizione che scelgano la soluzione giusta. Scegli lo strumento sbagliato e gli MSP possono incontrare una strada difficile con molte vendite difficili per convincere i clienti del valore associato alla scansione delle vulnerabilità .

Certo, avere una soluzione che identifica i sistemi e i dati a rischio, chi ha accesso ad essi e quanto costerà riparare le vulnerabilità è potente. Ma avere una soluzione intelligente che non solo identifica completamente il rischio, ma lo quantifica in dollari, dimostra il valore monetario della scansione in termini di riduzione del rischio reale. Avere un aiuto così significativo rafforza la tua mano in modo incommensurabile quando si tratta di presentare ai clienti servizi di valutazione della vulnerabilità interna.

MSP Risk Intelligence di SolarWinds MSP

SolarWinds Risk Intelligence consente agli MSP di simulare l’identità di qualcuno con normali privilegi all’interno dell’infrastruttura IT di un cliente. Utilizzando quella persona, MSP Risk Intelligence cerca attivamente di esporre dati sensibili, vulnerabilità e autorizzazioni di accesso, quindi li sfrutta per violare i sistemi client e ottenere l’accesso ai dati sensibili.

Utilizzando le informazioni raccolte dalla scansione, MSP Risk Intelligence calcola, bilancia e assegna priorità al rischio finanziario dei clienti. Quindi genera un rapporto di valutazione del rischio basato sul dollaro con codice colore che mostra, fino al dollaro, la responsabilità finanziaria a carico dei sistemi del cliente. Mettendo il rischio in termini monetari, puoi convincere le principali parti interessate dell’importanza di investire nella sicurezza.

Con MSP Risk Intelligence puoi usufruire di:

  • Scansione delle vulnerabilità
  • Rapporti di intelligence sui rischi
  • Scoperta delle autorizzazioni
  • Rilevamento dei dati di pagamento
  • Scoperta di PII e PHI

Vediamo le diverse funzioni più in dettaglio:

1 – SCANSIONE DELLE VULNERABILITA’

Gli strumenti completi di scansione delle vulnerabilità di MSP Risk Intelligence aiutano a sviluppare una valutazione interna completa delle vulnerabilità. Scopri dove risiedono i buchi nelle reti client per fermare gli exploit prima che inizino.

Le scansioni sono leggere e basate su host, quindi non si verificano problemi di autorizzazioni o di consumo di molta larghezza di banda. Puoi eseguire ricerche praticamente su qualsiasi tipo di dispositivo, dai server fino ai dispositivi mobili. E grazie a una sincronizzazione notturna con il database CVSS (Common Vulnerability Scoring System), puoi essere certo di essere sempre al corrente delle minacce più recenti.

Individua i buchi di sicurezza nei tuoi sistemi

In questi giorni, gli hacker hanno più assi nella manica che mai. Che si tratti di e-mail di phishing, download drive-by o malware vecchio stile, gli aggressori malintenzionati hanno molte opzioni per provare a sfruttare la sicurezza IT di un’azienda. SolarWinds® Risk Intelligence esegue la scansione dei sistemi non solo per i dati non protetti, ma per eventuali vulnerabilità che una parte esterna potrebbe tentare di sfruttare.

Esegui potenti scansioni delle vulnerabilità

  • Scansione basata su host:  utilizza la scansione basata su host per eseguire controlli di vulnerabilità su tutti i dispositivi delle reti senza dover affrontare problemi di autorizzazione per dispositivo.
  • Scansioni leggere:  inoltre, la scansione basata su host consente di eseguire le scansioni localmente, evitando il drenaggio delle risorse di rete.
  • Scoperta delle minacce emergenti:  SolarWinds Risk Intelligence sfrutta il database CVSS (Common Vulnerability Scoring System) per scoprire le minacce più recenti. MSP Risk Intelligence si sincronizza con il database ogni notte in modo che le scansioni delle vulnerabilità catturino le minacce più recenti.
  • Ricerca tra dispositivi:  sradica potenziali vulnerabilità su reti, server, workstation, applicazioni e dispositivi mobili.

Scopri le seguenti vulnerabilità

  • Software senza patch:  SolarWinds Risk Intelligence scoprirà il software senza patch sulle reti, proteggendoti dalle minacce.
  • E-mail: SolarWinds Risk Intelligence esegue anche la scansione dei file di Outlook per individuare vulnerabilità e minacce note.
  • Vulnerabilità dei sistemi operativi Mac e Windows:  SolarWinds Risk Intelligence copre tutte le minacce malware conosciute registrate nel database CVSS e funziona su Mac, Windows e Linux.
  • Minacce dalle connessioni VPN: configura le scansioni per l’esecuzione automatica quando un dispositivo nuovo o sconosciuto si connette alla tua rete.

2 – REPORTING DI INTELLIGENCE SUI RISCHI

Con SolarWinds Risk Intelligence puoi:

  • Scoprire quante vulnerabilità ci sono e poi monitorale nel tempo, mostrando miglioramenti o riconoscendo aumenti.
  • Scoprire quali dispositivi rappresentano un rischio per l’esposizione dei dati della carta di credito e scopri quanto costerebbe una violazione.
  • Mostrare i cambiamenti nella responsabilità del rischio nel tempo per segnalare un ulteriore miglioramento

Esporta i rapporti come file CSV, PDF o Excel. Puoi persino marchiarli con il logo che preferisci.

Conosci l’impatto finanziario dei tuoi dati a rischio

In qualità di fornitore di servizi gestiti, devi dimostrare il tuo valore ai tuoi clienti. MSP Risk Intelligence rende facile mostrare agli stakeholder chiave dei clienti l’impatto finanziario dell’investimento nella sicurezza. Sia che tu abbia bisogno di un buy-in per ulteriori adozioni di servizi o semplicemente desideri dimostrare la tua efficacia,  i report di SolarWinds ® Risk Intelligence ti aiutano a dimostrare miglioramenti tangibili ai profitti e aumentare notevolmente la consapevolezza e la sicurezza dei dati. Inoltre, i rapporti possono identificare in modo proattivo qualsiasi aumento del rischio allarmante, aiutandoti a reagire rapidamente per il tuo cliente prima che si verifichi una crisi.

Mostra miglioramento

  • Dati della carta di credito: trova i tipi più comuni di numeri di carta di credito a 16 e 13 cifre nei tuoi sistemi, scopri quali dispositivi rappresentano il rischio maggiore e ottieni un importo totale in dollari a livello di organizzazione per una violazione.
  • Baseline del rischio di violazione dei dati individua tutti i dati sensibili, comprese le informazioni di identificazione personale e i tipi di file definiti personalizzati, per ottenere un numero di rischio finanziario in tutta l’organizzazione.
  • Report sulle tendenze delle vulnerabilità: visualizza le modifiche nel numero totale di vulnerabilità nel tempo in modo da poter dimostrare i miglioramenti e riconoscere qualsiasi potenziale aumento del rischio.
  • Report sull’andamento del rischio di violazione dei dati:  visualizza il cambiamento della tua potenziale responsabilità nel tempo per dimostrare un chiaro miglioramento finanziario nella posizione di rischio dei tuoi clienti.

Ottieni il pieno controllo

  • Suddivisioni per dispositivo: visualizza in dettaglio il livello di dispositivo per la maggior parte dei rapporti.
  • Esportazione: scarica i rapporti in formato PDF, CSV o Excel.
  • Rapporti personalizzabili: i rapporti possono includere qualsiasi logo caricato.

3 – SCOPERTA DELLE AUTORIZZAZIONI

Sicuramente come MSP Non vuoi che i dati finiscano nelle mani sbagliate, anche se quella persona sembra essere il dipendente di un cliente. Anche se non è dannoso, consentire l’accesso a informazioni sensibili può significare cattive notizie. MSP Risk Intelligence ti consente di trovare i problemi di autorizzazione prima che diventino un problema.

Contribuisci a garantire che solo le persone giuste possano accedere ai dati sensibili

Non è raro che i dipendenti abbiano accesso a dati non essenziali per il loro lavoro. In particolare, le piccole imprese in cui i dipendenti indossano diversi cappelli spesso non cambiano le autorizzazioni quando le persone cambiano ruolo. Questo può essere pericoloso: si consideri lo scenario di un dipendente che era solito gestire il libro paga avendo ancora accesso ai record del conto bancario mesi dopo aver cambiato reparto. Sebbene pochi dipendenti abbiano cattive intenzioni, le aziende non possono permettersi di dare troppo accesso ai dipendenti sbagliati. SolarWinds ®  Risk Intelligence esegue la scansione dei vostri sistemi alla ricerca di dati sensibili, quindi vi mostra esattamente quali utenti hanno accesso.

Scopri i problemi di autorizzazione

  • Rilevamento delle autorizzazioni inadeguato: scopri le mancate corrispondenze di autorizzazioni con scansioni approfondite di dati sensibili in modo da garantire che solo le persone giuste abbiano accesso alle informazioni giuste.
  • Diversi tipi di file: scopri chi ha accesso a file di testo importanti, fogli di calcolo, e-mail, PDF e molto altro ancora.
  • Scansioni di autorizzazioni granulari: imposta le scansioni per individuare gli utenti con autorizzazioni di lettura, scrittura, esecuzione o speciali.

Proteggiti dai seguenti scenari

  • Dati di pagamento trapelati: individua le informazioni di pagamento non protette raccolte dagli addetti alle vendite che lavorano con i clienti.
  • Perdita di informazioni sulla salute protette: proteggere le informazioni sulla salute che potrebbero essere archiviate nei file delle risorse umane.
  • Elenchi di clienti rubati:  aiuta a garantire che i dettagli dei tuoi clienti rimangano al sicuro nel caso in cui ex dipendenti tentano di rapinare i clienti.
  • Segreti commerciali compromessi: scopri le vulnerabilità che potrebbero mettere a rischio la proprietà intellettuale o i segreti commerciali.

4 – RILEVAMENTO DEI DATI DI PAGAMENTO

La conformità PCI DSS è un must per le informazioni sulla carta di credito del cliente. SolarWinds Risk Intelligence aiuta a trovare le informazioni sulle carte di pagamento in luoghi difficili da raggiungere. Cerca server, workstation e dispositivi mobili: può gestire tutti i tipi di tecnologie, sistemi operativi e tipi di file. Si occupa delle scansioni PCI DSS richieste (numero di conto principale e scansioni di vulnerabilità interne). E tutti i dati in transito e inattivi vengono crittografati con tunnel IPsec o SSL VPN.

Proteggi i dati della carta di credito e aiuta a garantire la conformità allo standard PCI DSS

Forse uno dei più grandi incubi per i tuoi clienti sarebbe perdere i dati della carta di credito del cliente. Al di là della fiducia persa per l’azienda sul mercato, un’azienda in questa posizione potrebbe affrontare azioni legali o pesanti multe per conformità. Per combattere questo, gli standard PCI DSS sono stati creati per proteggere i consumatori facendo sì che le aziende aderiscano agli standard di sicurezza durante la gestione delle transazioni. Le scansioni di SolarWinds ®  Risk Intelligence funzionano perfettamente per i clienti che operano in più sedi e hanno più dispositivi mobili in gestione.

Scansione e crittografia

  • Scansioni richieste PCI DSS: eseguire scansioni della vulnerabilità interna PCI DSS e del numero di conto primario (PAN) utilizzando un semplice modello di autenticazione a livello di host.
  • Diversi tipi di dispositivi supportati: cerca le informazioni di pagamento su server, workstation e dispositivi mobili.
  • Crittografia per dati in transito e dati inattivi : crittografa i dati trasferiti tramite tunnel IPsec o SSL VPN e proteggi i dati inattivi senza la necessità di una distribuzione completa dell’infrastruttura a chiave pubblica.

Scansione tra tipi di file e tecnologie

  • Tipi di file estesi: scansione di testo, MS Office e file compressi, nonché database, e-mail e archivi di posta elettronica e molto altro ancora.
  • Compatibilità multipiattaforma: ricerca su Windows, Mac OS X, Android e iOS.
  • Molteplici tecnologie supportate: copre Exchange, SharePoint, database, posta elettronica, archivi di posta elettronica, tecnologie di archiviazione cloud e molto altro ancora.

5- RILEVAMENTO DEI DATI PII / PHI

Come per le informazioni sulle carte di pagamento, le informazioni di identificazione personale e le informazioni sanitarie protette devono essere salvaguardate a tutti i costi. Una violazione potrebbe offuscare la reputazione del tuo cliente e la tua come MSP e portare a conseguenze potenzialmente costose a causa delle normative vigenti (esempio HIPAA). Ecco perché le nostre scansioni PII e PHI Data Discovery sono preziose.

Proteggi i dati personali sensibili dagli attacchi e ottimizza la riparazione

Le informazioni di identificazione personale (PII) o qualsiasi dato che può essere utilizzato per identificare un individuo, rappresentano un grave rischio per le aziende. Se violate, queste informazioni possono portare a cause legali e possono paralizzare la tua credibilità. MSP Risk Intelligence ti aiuta a trovare tutti i tipi di PII – indirizzi e-mail, numeri di previdenza sociale e altro – in transito e a riposo. Metterà anche una cifra in dollari/euro su ogni pezzo. SolarWinds ®  Risk Intelligence elimina le PII ovunque siano presenti, prima che siano in transito.

Aiuta anche a proteggere tutti i tipi di PHI – cartelle cliniche, informazioni assicurative, cartelle cliniche dei pazienti – per aiutarti a rimanere in conformità con le norme vigenti.

Scopri tutti i tipi di PII

  • Informazioni personali: sistemi di scansione per indirizzi e-mail, numeri di targa, conti bancari, numeri di previdenza sociale, dati ACH, numeri di carte di credito e molto altro.
  • Dati di pagamento: individua tutti i tipi di numeri di carte di credito, inclusi Visa, MasterCard, American Express, JCB, carte Maestro Diner’s Club e altro ancora.
  • Profilo di rischio finanziario ricevi una valutazione del rischio finanziario quantificato su ogni parte delle PII.
  • Dati non sicuri difficili da trovare: individua i dati sensibili sia in transito che a riposo.
  • Controlli personalizzabili: sfrutta le scansioni out-of-the-box o personalizza le scansioni in base alle esigenze della tua organizzazione.

Scelto da MSP e professionisti IT in tutto il mondo

Quando si tratta di valutazioni di vulnerabilità interne, la precisione è fondamentale. Risultati accurati garantiscono che tutte le finestre di opportunità, comprese quelle con le maggiori vulnerabilità ed esposizioni finanziarie, siano state sigillate contro possibili attacchi. Il rovescio della medaglia, i risultati imprecisi distorcono la posizione di sicurezza reale di un’azienda lasciandola esposta a minacce che sono state perse o trascurate mentre le risorse inseguono le tane dei conigli alla ricerca di vulnerabilità fasulle.

Le soluzioni MSP di SolarWinds vantano livelli di precisione senza precedenti. Ecco perchè:

  • Le soluzioni SolarWinds MSP sono considerate affidabili da oltre 12.000 aziende in tutto il mondo.
  • I clienti SolarWinds MSP eseguono oltre 260 milioni di controlli di monitoraggio remoto ogni giorno.
  • Le soluzioni MSP di SolarWinds hanno intercettato 8 miliardi di messaggi di spam nell’ultimo anno.
  • Le soluzioni MSP di SolarWinds bloccano 1 milione di minacce in quarantena ogni mese.

Sebbene questi parametri di riferimento siano impressionanti, la vera chiave del nostro successo è il modo in cui consentiamo agli MSP di portare i servizi gestiti a un livello superiore con il nostro ampio portafoglio di soluzioni IT all’avanguardia e un modello di prezzo unico.

Che si tratti di utilizzare MSP Risk Intelligence per ottenere la visione di un hacker delle vulnerabilità all’interno delle reti dei tuoi clienti dietro il loro firewall o di una qualsiasi delle nostre altre soluzioni all’avanguardia, ci dedichiamo a proteggere le reti dei tuoi clienti dall’alto verso il basso, all’interno e fuori, permettendoti di concentrarti sulla crescita della tua attività.

Iscriviti oggi stesso per una prova gratuita di MSP Risk Intelligence !

FONTE: Sito web SolarWinds MSP

Adattamento e Traduzione: N4B SRL – Distributore Autorizzato SolarWinds MSP

Read More

GDPR e Marketing: la profilazione

Quando si parla di profilazione, la prima cosa che di solito ci viene in mente è la profilazione online: cookie, social, app. Perché la maggior parte dei casi di profilazione automatizzata avviene sui siti web – attraverso i cookie di profilazione di terze parti, nelle App – pensiamo alla geolocalizzazione – e sui Social, con le tecniche di retargeting.
Ma non riguarda solo l’online. Anche nelle attività di marketing tradizionale può esserci profilazione. Per esempio, possiamo raccogliere e poi profilare dati personali usando un semplice modulo cartaceo. Quindi è importante capire cos’è la profilazione e cosa deve fare chi decide di usarla per le attività di marketing.

Cos’è la profilazione?

Per capire cos’è la profilazione, partiamo da due definizioni.
  • Una è quella dell’articolo 4, punto 4, del GDPR,
  • l’altra è presente nelle Linee guida in materia di trattamento dei dati per profilazione online del 19 marzo 2015, stilate dal Garante.

 

  • La definizione del GDPR
L’articolo 4 del Regolamento, al punto 4, dà una definizione generica e che considera solo il trattamento automatizzato dei dati, quindi non comprende i trattamenti manuali, cioè l’intervento di una persona fisica nell’attività di profilazione.
L’articolo 4 ci dice che la profilazione è qualsiasi forma di trattamento automatizzato, che ha per oggetto dati personali e che ha come scopo una valutazione su determinati aspetti personali, per analizzarli o farne delle previsioni. Sono aspetti che possono riguardare il rendimento professionale di una persona fisica, la sua situazione economica, la sua salute, i suoi gusti, interessi e i comportamenti, la sua affidabilità, la sua ubicazione e i suoi spostamenti.
Quindi è una definizione che non tocca solo il marketing, ma anche la profilazione nell’ambito dell’HR, del recruiting, nell’ambito finanziario – quando, ad esempio, facciamo analisi e previsioni sulla situazione economica di una persona fisica – e l’ambito sanitario. Se parliamo di marketing, i dati raccolti e usati per la profilazione sono quelli sulle preferenze personali e sugli interessi di una persona, sui suoi comportamenti ed i suoi gusti.
  • La definizione delle linee guida dell’Autorità Garante
Secondo questa definizione, la profilazione può essere di tre tipi:
1 – Profilazione generale, che corrisponde alla definizione data nel GDPR e che abbiamo appena visto.
2 – Profilazione come fondamento di un processo decisionale automatizzato, ma che non è unicamente automatizzato. È la situazione in cui il profilo viene creato utilizzando mezzi automatizzati, ma poi una persona prende le risultanze e le valuta. Facciamo un esempio, slegato dal marketing, ma utile per capire cosa si intende:
Peppino va in banca a chiedere un prestito. L’addetto dell’istituto di credito controlla il gestionale dove un algoritmo stila un profilo sulla base delle informazioni a disposizione.
Se Peppino ha un profilo di rischio alto, l’addetto della banca decide che è meglio non concedere il prestito. Se ha un profilo di rischio basso, glielo concede.
3 – Profilazione in cui le decisioni sono prese su un trattamento unicamente automatizzato. Qui non c’è alcun intervento umano. È l’algoritmo che decide.

Tornando al nostro esempio. Quando Peppino va in banca a chiedere un prestito, non decide l’addetto, decide l’algoritmo della banca se concederlo o meno.

Attenzione – Questo tipo di trattamento è vietato! C’è scritto nell’articolo 22 del GDPR che dice: l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
Un’altra cosa che andrebbe evitata è la profilazione dei minori. Anche se non c’è uno specifico divieto, per le attività di marketing però è bene non profilare chi ha meno di 18 anni.
Poniamo che tu decida di fare profilazione per le tue attività di marketing. Cosa devi fare?

Cosa deve fare chi fa profilazione per le sue attività di marketing

Se decidi di fare profilazione, per prima cosa devi dirlo nell’informativa, che va rilasciata prima del trattamento dei dati, quindi prima di raccogliere le informazioni personali. Ma non basta dire che fai profilazione, devi anche spiegare quale logica hai usato, le finalità e quali conseguenze ci sono.
Occhio alla minimizzazione dei dati.
Di solito, chi fa marketing ha bisogno di raccogliere più dati possibili, ma nella profilazione il trattamento deve essere minimizzato. Se non sei in grado di minimizzare i dati che raccogli, allora usa dati aggregati e anonimi per fare la profilazione.
Importante: devi chiedere il consenso! 
Serve il consenso specifico per ogni finalità. Quindi non basta il consenso per il marketing: se fai profilazione, devi chiedere il consenso per la profilazione.
Facciamo un esempio semplice e comunissimo: se la Peppino srl ha la newsletter, il consenso alla newsletter deve essere distinto da quello del modulo di contatto. Sono due finalità diverse. Lo stesso vale per la profilazione.
Poi c’è la conservazione dei dati. Per quanto tempo puoi tenere i dati profilati?
La norma ci dice che non possono essere conservati per un periodo che è superiore a quello che è lo scopo per cui li hai raccolti, dopodiché devono essere cancellati.
Bene. Ma quali sono i diritti di chi lascia i propri dati per la profilazione?

I diritti degli interessati nella profilazione

Primo fra tutti, è il diritto di opposizione, che nell’ambito del marketing non può essere mai negato. Se Peppino non vuole che i suoi dati vengano usati per finalità di marketing e profilazione, non possiamo usarli. Punto.
Gli altri diritti sono:
  • Diritto ad essere informato – Abbiamo già detto che dobbiamo dare un’informativa, in cui diciamo che facciamo profilazione e se ci sono processi decisionali automatizzati.
  • Diritto di accesso – L’utente può chiedere di vedere il profilo che è stato creato su di lui o su di lei, quindi non solo i dati personali usati, ma anche quelli che risultano dall’analisi dei suoi comportamenti.
  • Diritto alla rettifica e alla cancellazione – L’utente può chiedere che tutto il suo profilo venga cancellato e che i suoi dati vengano rettificati, e in qualsiasi momento può chiedere la limitazione della profilazione.

Attenzione alle discriminazioni

La profilazione ha un rischio, soprattutto se il processo decisionale è automatizzato o completamente automatizzato, perché può incidere in modo rilevante sulla persona fisica: discriminarla o escluderla. È l’esempio che abbiamo già fatto: Peppino non riceve un prestito perché l’algoritmo dice che non ha il profilo adatto.
E nel marketing? Una campagna di retargeting può incidere significativamente su una persona se, per esempio, sfruttiamo le sue debolezze. E questa è una tecnica vietata dall’articolo 22.
Per esempio, se Antonio ha perso il lavoro e la Peppino srl – che ha come core business il gioco d’azzardo – gli invia delle newsletter che fanno leva sulla mancanza di denaro e sulla possibilità di ottenere soldi facili, la Peppino srl sta sfruttando una debolezza di Antonio.

Ma non lo può fare, per legge.

Articolo tratto dall’intervento dell’Avvocato Francesca Bassa su RAISE Academy.
FONTE: PrivacyLab BLOG: di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL –
Adattamento: N4B SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

GDPR: Cosa deve contenere un’informativa?

Il GDPR ci dice che tutte le organizzazioni pubbliche e private hanno l’obbligo di informare i propri utenti prima di iniziare a raccogliere e compiere qualsiasi operazione con i loro dati personali. Questa informativa può essere resa per iscritto o verbalmente ma comunque sempre nel rispetto delle caratteristiche previste dal GDPR.
Bene. Per me è qualcosa di più.
Per me l’informativa è la cartina tornasole, che mi serve per capire tante cose. Perché quando la vedo, provo o ipotizzo o faccio finta di capire, come l’azienda affronta il Regolamento Europeo.

Lo so, non è bello e qualcuno fra chi legge si scandalizzerà, ma per me l’informativa sono le mutande, e guardando le aziende e gli enti in Italia ho capito che sono di tre tipi.

Senza informativa, con l’informativa inadeguata, con l’informativa di un altro

La situazione in Italia, anche dopo il GDPR, è questa.
Ci sono i naturisti – le aziende senza mutande – sono quelli che non hanno l’informativa. Non ce l’hanno perché non si sa, perché non la vogliono avere, perché loro trattano solamente dati per obblighi di legge. Loro sono nature, sono quelli che non avevano neanche le informative della 196. Nudi e crudi, a lametta!
Poi ci sono gli incoscienti: quelli che indossano le mutande come Borat usa il costume da bagno. Io li chiamo gli incoscienti, perché sono quelli che fondamentalmente hanno un’informativa, ma il dubbio di essere adeguati non gli si è posto. Loro le informative le hanno ma, ad esempio, su quella del sito web – sito normalissimo, non siti particolari, intendiamoci, che ha qualche cookie e la registrazione alla newsletter – c’è scritto che loro trattano i dati relativi alla mia vita sessuale e al mio stato di salute!
Se non ce l’hai l’informativa è male, ma anche quella inadeguata non va bene. Sia chiaro.
Per ultimi ci sono i pigri. Sono le aziende che indossano le mutande di un altro. Copiano l’informativa perché dicono “Eh, l’ha fatta la banca! Avrà pure gli avvocati la banca. Se va bene per la banca, andrà bene anche per me”. Ma acciderbolina, non è così!

Bene. Allora come deve essere l’informativa? Cosa deve contenere?

I contenuti dell’informativa sulla privacy

Gli articoli 13 e 14 del Regolamento Europeo 16/679 elencano con precisione quali contenuti vanno obbligatoriamente inclusi nell’informativa sul trattamento dei dati personali. Ecco che cosa bisogna indicare.

1) Chi è l’interessato

L’interessato è la persona fisica a cui si riferiscono i dati personali.

Esempio – Antonio firma un contratto di lavoro con un’azienda. Al momento dell’assunzione l’azienda rilascia ad Antonio un’informativa sulla privacy per spiegargli quali dati raccoglie, come li raccoglie, da chi verranno trattati. Antonio è l’interessato.

2) Chi effettua il trattamento

È il soggetto che tratterà i dati della persona fisica, cioè il titolare del trattamento e se presente, l’informativa dovrà indicare anche il suo rappresentante.

Esempio – L’azienda che ha assunto Antonio è titolare del trattamento dei dati personali e nell’informativa deve riportare il nome dell’azienda, la sede e i contatti. Se invece l’organizzazione fosse uno studio legale, per esempio, il titolare del trattamento sarebbe lo studio legale Beta in persona dell’avv. Taldeitali.

3) Se nominato, i recapiti del DPO

Il DPO (Data Protection Officer) o Responsabile della Protezione dei Dati personali (RPD) è la nuova figura introdotta dal GDPR. È un consulente tecnico e legale – interno o esterno all’azienda – che ha il compito di: informare il titolare, il responsabile e gli addetti affinché rispettino la normativa; sorvegliare responsabili e addetti per verificare che si attengano al GDPR; cooperare per fare da punto di contatto fra l’autorità di controllo e il titolare del trattamento.

Il DPO è obbligatorio? Non per tutti. Deve essere nominato obbligatoriamente dai titolari e dai responsabili del trattamento che hanno come attività principale il monitoraggio regolare e sistematico degli interessati su larga scala, che fanno trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati. Hanno questo obbligo, per esempio, le banche, le assicurazioni, le società di revisione contabile, quelle di recupero crediti, partiti e sindacati, caf, ospedali, call center… l’elenco è disponibile sul sito del Garante.

Esempio – L’azienda che ha assunto Antonio è una banca, per legge obbligata ad avere un DPO. Quindi l’informativa di Antonio deve riportare anche il nominativo e i contatti del Responsabile della Protezione dei Dati personali (RPD) nominato dall’istituto di credito.

4) Quali sono i trattamenti effettuati e perché

In questa parte dell’informativa, il titolare del trattamento spiega come e per quali finalità tratterà i dati personali dell’interessato.
Esempio – L’informativa di Antonio spiega che i suoi dati personali verranno usati dalla banca solo per l’avvio e la gestione del rapporto di lavoro, la gestione dei dati fiscali, previdenziali e assicurativi, la sicurezza sul lavoro. Poi spiega che i dati di Antonio verranno trattati con sistemi informatici e cartacei, verranno inseriti nelle scritture e nei registri obbligatori per legge e trasmessi agli istituti previdenziali e agli uffici finanziari per rispettare quanto previsto dalla legge per i datori di lavoro. Spiega anche che i dati di Antonio vengono trattati in modo da garantirne l’integrità, la riservatezza e la disponibilità.

5) Qual è la base giuridica del trattamento 

La base giuridica è la motivazione che giustifica il trattamento dei dati. Secondo il GDPR, ogni organizzazione deve necessariamente identificare le basi su cui si fondano la raccolta e il trattamento dei dati, che deve essere documentata e aggiornata, perché sia chiara. Una volta le aziende non ci facevano molto caso, ma oggi è un passaggio necessario, perché i diritti delle persone dipendono dalla base normativa scelta per trattare i loro dati.
Esempio – Nel caso di Antonio, che viene assunto dalla banca, la base giuridica è data dal contratto di lavoro e dagli obblighi di legge. Quindi, leggendo l’informativa, Antonio sa che la banca userà i suoi dati per motivi strettamente legati al rapporto di lavoro, non per finalità di marketing e per mandargli i volantini pubblicitari.

6) Quali sono i dati raccolti

I dati raccolti sono i dati personali. Un dato personale è qualsiasi informazione che riconduce ad un singolo individuo per via delle sue caratteristiche, relazioni, abitudini, stile di vita e così via. Quindi sono dati personali:
  • le informazioni identificative – nome, cognome, data e luogo di nascita, residenza, domicilio, immagini che ritraggono la persona –,
  • le informazioni che una volta venivano chiamate dati sensibili – orientamento sessuale, condizioni di salute, origine razziale ed etnica, convinzioni religiose, filosofiche, opinioni politiche, adesione a partiti, sindacati, organizzazioni di varia natura –,
  • le informazioni giudiziarie, che possono rivelare l’esistenza di provvedimenti giudiziari
  • i dati legati alle nuove tecnologie: dati relativi alle comunicazioni elettroniche telefoniche e internet – come l’indirizzo IP -, i dati che permettono di geolocalizzare una persona, quelli genetici e biometrici.
Quindi l’informativa deve indicare quali dati personali verranno raccolti: una scelta che dipende dall’attività del titolare e dal tipo di trattamento. Per esempio, l’informativa di un sito web normale – non di YouPorn.com – non tratterà dati relativi alla vita sessuale degli interessati, ma dati più normali, come quelli sulla navigazione delle pagine e l’iscrizione alla newsletter.
Esempio – I dati personali di Antonio trattati dalla banca sono quelli anagrafici, quelli familiari – se per esempio Antonio fa richiesta di assegni familiari, chiede la 104 o un congedo di paternità – e di salute: permessi per malattia, interventi chirurgici, donazioni di sangue e così via.

7) Se il trattamento comporta operazioni automatizzate, come la profilazione

La profilazione dei dati personali è la raccolta di informazioni su un individuo o un gruppo di individui per analizzarne le caratteristiche e inserirli in categorie o gruppi e poterne fare delle valutazioni o previsioni.
Se la profilazione avviene con sistemi automatizzati, la cosa si fa più delicata e l’informativa deve spiegare che i dati verranno utilizzati per questa finalità in modo chiarocompleto ed esaustivo.
Esempio – Il gestionale della banca che ha assunto Antonio ha un algoritmo che dice se i clienti possono ottenere un prestito oppure no. Quando Giulia e Peppino vanno in filiale e parlano con Antonio per chiedere un prestito, Antonio entra nel gestionale della banca, inserisce tutti i dati – età, professione (è un lavoro stabile o precario?), se hanno già dei prestiti e se sì, se sono indietro con le rate – poi l’algoritmo della banca, che si basa sulla profilazione, emette il verdetto: Giulia ha i requisiti per chiedere il prestito, Peppino no. Quindi la decisione di deliberare o meno il prestito è automatizzata e la banca deve spiegarlo chiaramente nell’informativa rilasciata a Giulia e Peppino.

8) Se i dati verranno comunicati a soggetti esterni (responsabili esterni)

L’informativa deve indicare se i dati vengono comunicati ad altri soggetti, diversi dal titolare del trattamento, cioè i responsabili esterni.

Esempio–Michela, lavora in un’azienda metalmeccanica di Albinea che si affida ad uno studio di Reggio Emilia per fare le buste paga. Lo studio paghe quindi è un responsabile esterno: non è necessario che nell’informativa compaia la ragione sociale, la sede e i contatti del consulente ma almeno l’indicazione che i  dati di Michela verranno gestiti per obblighi di legge e contrattuali da studi esterni si, fermo restando che Michela potrà sempre chiedere evidenza puntuale ed ecco che i dati dello studio paghe dovranno essere presenti sul Registro dei Trattamenti.

9) Per quanto tempo saranno conservati i dati e in che modo

L’informativa deve indicare come e per quanto tempo vengono conservati i dati: archiviati in un’agenda cartacea o con strumenti elettronici? Vengono salvati in cloud? Su un foglio Excel? E per quanto tempo vengono conservati? Il principio di privacy-by-design introdotto dal GDPR ci obbliga ad organizzare preventivamente l’intero processo di gestione dei dati, compreso quindi il modo in cui li strutturiamo e li conserviamo, per ridurre il rischio di violazioni.
Esempio – L’azienda metalmeccanica in cui lavora Michela conserva tutti i dati anagrafici dei dipendenti in un sistema di repository in Cloud. L’informativa rilasciata a Michela deve contenere in maniera sintetica anche questa informazione.

10) Se i dati saranno trasferiti in altri Paesi e come

L’informativa deve comunicare se i dati personali vengono trasmessi all’estero, cioè in Paesi che sono al di fuori dell’Unione Europea e dello spazio economico comunitario.
Esempio – L’azienda usa DropBox per poter comunicare e condividere file con i propri clienti, DropBox purtroppo i Dati li tiene su server americani, quindi nell’informativa deve essere indicato che i dati saranno trasferiti in America.

11) Quali sono i diritti dell’interessato

Il GDPR stabilisce che chi lascia i propri dati personali ha dei diritti, che vanno riportati anche nell’informativa:
  • il diritto a essere informati su come e perché vengono trattati i suoi dati
  • il diritto di accedere ai propri dati
  • il diritto di poter correggere i propri dati
  • il diritto alla cancellazione dei dati da parte del titolare e dei responsabili
  • il diritto alla portabilità dei dati, cioè chiedere che i dati vengano o trasferiti direttamente ad un’altra azienda, quando è possibile tecnicamente
  • il diritto all’obiezione, cioè di chiedere all’organizzazione che elabora i dati personali – sulla base di un proprio legittimo interesse o come parte di un’attività di interesse pubblico o per un’autorità ufficiale – di non utilizzarli
  • il diritto a non essere oggetto di scelte automatizzate, come la profilazione

Chi deve redigere l’informativa?

L’informativa deve essere redatta dai Titolari del trattamento.

Il problema di base è che se deve essere la cartina tornasole di come vengono effettuati i trattamenti all’interno dell’Azienda diventa fondamentale per ogni categoria di interessati coinvolgere le funzioni aziendali che concorrono al ballo partendo dal marketing, passando all’amministrazione arrivando al Ced.
Essere consapevoli di quali dati si hanno, perché dove e con chi, fa parte della composizione dell’informativa.
FONTE: PrivacyLab BLOG: di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL –
Adattamento: N4B SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

GDPR – Come fare telemarketing a norma

Parliamo di telemarketing, GDPR e trattamento dei dati personali. Una questione che tocca soprattutto gli operatori di telefonia, particolarmente attivi sul fronte del teleselling, ma non solo. Soprattutto oggi, in tempi di Covid, stanno nascendo tantissimi e-commerce che, è chiaro, devono essere adeguati a livello normativo – sia legale sia privacy – ma che dietro hanno anche una gestione complessa e molto spesso hanno bisogno di customer care (e quindi di telemarketing). Ne parliamo anche perché le sanzioni più elevate comminate dall’Autorità Garante sono proprio sul telemarketing o teleselling.

Il marketing con i social e gli SMS è telemarketing? No, facciamo alcune distinzioni importanti

La maggior parte delle attività di marketing fatte dalle aziende non è telemarketing, ma è marketing attraverso i social media – WhatsApp, Facebook, Telegram e così via – che rientrano tra le comunicazioni elettroniche, come SMS, fax, mail, MMS, equiparabili alle chiamate senza operatore. E poi, dall’altro lato, ci sono le chiamate con operatore verso gli abbonati: il telemarketing.
A seconda dell’attività che si fa, cambia il tipo di consenso da chiedere.

Il consenso: quando e come richiederlo

Qui la norma di riferimento è l’articolo 130 del Codice Novellato.
Il comma 1 dell’articolo 130 sulle comunicazioni automatizzate ci dice che siamo in un regime di Opt-in e quindi, se vogliamo inviare materiale pubblicitario, fare comunicazioni commerciali, fare vendita diretta o fare ricerche di mercato, dobbiamo prima chiedere il consenso dell’utente e del contraente, quindi sia alle persone fisiche che alle persone giuridiche.
E possiamo chiedere un unico consenso per tutte le comunicazioni automatizzate, anche se è sempre meglio specificare come avvengono queste comunicazioni: via SMS, WhatsApp, via mail? È meglio chiarirlo subito. Inoltre, questo consenso può essere esteso anche all’invio di materiale pubblicitario, alle comunicazioni commerciali per posta cartacea e attraverso le telefonate con operatore.
Ma non vale il contrario.
Quindi, per le comunicazioni automatizzate serve sempre il consenso preventivo, mentre per le chiamate tramite operatore il regime è di Opt-out perché quando il nome, il cognome, il numero di telefono e l’indirizzo postale di una persona sono su un elenco cartaceo ed elettronico disponibile al pubblico – ad esempio gli elenchi telefonici – possiamo contattarla per fare delle chiamate telefoniche, a meno che quel numero o quell’indirizzo non siano inseriti nel Registro delle Opposizioni. Per cui, se Peppino si stufa di ricevere telefonate promozionali, deve iscriversi al Registro delle Opposizioni.
Hai un’azienda e vuoi fare telemarketing?
Ecco come funziona.

Come fare telemarketing a norma

Il Registro delle Opposizioni è stato istituito nel 2010 con un Decreto della Presidenza della Repubblica per dare la possibilità di fare marketing tramite chiamate con operatore o con la posta cartacea alle persone che non si sono opposte.
Quindi, se hai un’azienda e vuoi fare telemarketing – chiamate telefoniche con operatore –, devi prima registrarti nel Registro delle Opposizioni, pagare una tariffa e poi dare la lista dei tuoi contatti alla Fondazione Ugo Bordoni che gestisce il Registro. Gli addetti della Fondazione poi fanno una scrematura ed eliminano dalla lista le persone che si sono opposte all’uso del loro indirizzo o del numero di telefono per le attività di telemarketing. Una volta ricevuta la lista sfoltita, hai un lasso di tempo preciso in cui fare la campagna di marketing, che è di 15 giorni per le campagne telefoniche e di 30 giorni per quelle per posta cartacea.
Per cui se la Peppino srl vuole contattare Antonio per fare telemarketing e il numero di Antonio è inserito in un elenco telefonico pubblico, può farlo; se invece è inserito nel Registro delle Opposizioni, non lo può fare.
Il divieto è assoluto?
No. Il divieto vale per gli elenchi pubblici, ma se la Peppino srl ha una newsletter – per cui è previsto un consenso specifico, ovviamente – e Antonio si iscrive, la Peppino srl per la sola finalità della newsletter, può inviare comunicazioni ad Antonio, anche se è inserito nel Registro delle Opposizioni.

L’informativa: cosa deve contenere

Hai deciso di fare telemarketing? Hai due valutazioni da fare.
Prima valutazione: se contatti la persona per la prima volta, devi dare l’informativa in forma semplificata, eventualmente rinviando ad un sito internet. E devi verificare che il numero di telefono non rientri nel registro delle opposizioni.
Seconda valutazione: anche se hai già dato l’informativa, devi mettere a conoscenza l’utente dei suoi diritti di opposizione, informarlo che esiste il Registro delle Opposizioni e spiegargli perché e come viene fatta la raccolta dei suoi dati. Per esempio, se il call center a cui ti appoggi è al di fuori dell’UE, devi dirlo a chi riceve la chiamata e dargli anche la possibilità di avere il servizio attraverso un operatore dell’Unione Europea.

Articolo tratto dall’intervento dell’Avvocato Francesca Bassa su RAISE Academy.

Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l’Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
FONTE: PrivacyLab BLOG: di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL –
Adattamento: N4B SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

GDPR – La verifica del registro dei trattamenti

La prima cosa che il Nucleo Speciale della Guardia di Finanza chiede quando fa una visita ispettiva è il registro dei trattamenti. È una richiesta che fa sia quando controlla il titolare del trattamento che il responsabile esterno. E non accetta ritardi!
Il registro dei trattamenti è alla base del principio di accountability, che vuol dire responsabilità piena e rendicontazione obbligatoria. Perché il titolare deve essere in grado di dimostrare e di documentare di aver fatto il trattamento in conformità del Regolamento. E lo fa attraverso il registro. Una volta c’erano le misure minime di sicurezza. Ma oggi non è più così: ogni titolare deve implementare delle misure adeguate ed è sua la responsabilità.

Cos’è il registro dei trattamenti e cosa contiene

Il registro dei trattamenti è uno strumento che consente di tracciare e monitorare le attività di trattamento dei dati personali fatta dal titolare o dal responsabile del trattamento, sotto la propria responsabilità. Può essere elaborato in forma cartacea o in forma elettronica e deve essere messo a disposizione dell’Autorità Garante, nel caso lo richieda.
Deve mappare non solo i trattamenti elettronici, ma anche quelli cartacei, contenere le misure di sicurezza e indicare i dati personali trattati. Quali?
Solo quelli che servono effettivamente per portare avanti l’attività.
Non ha senso chiedere a Peppino se è laureato, sposato, se ha figli e cosa fanno.
Anche perché se si acquisiscono ulteriori dati rispetto alle finalità, la sanzione è fino a 20 milioni di euro!
Le informazioni minime da inserire nel registro sono:
  • Le finalità del trattamento, cioè il motivo per cui raccogli i dati personali. Per fare pubblicità? Per fare altro? Per cosa?
  • Le categorie di dati trattati (dati personali comuni, particolari, di credito e così via).
  • Le categorie di interessati, cioè delle persone fisiche: sono dipendenti, clienti, prospect?
  • tempi di conservazione: per quanto tempo tratti quei dati?
  • Le misure di sicurezza: quali soluzioni fisiche, tecnologiche ed organizzative hai adottato per garantire la protezione dei dati? Esempio. Oggi tutti accedono a tutto: non va bene. Perché poi può succedere quello è che accaduto di recente con la TIM – un caso che è uscito su tutti i giornali – in cui si è scoperto che alcuni dipendenti infedeli sono entrati nel database con le loro password e hanno scaricato centinaia di migliaia di dati personali dei clienti per rivenderli ad altre società. Se mi occupo dei clienti, devo accedere solo ai dati dei clienti. Se mi occupo dei fornitori, devo accedere solo ai dati dei fornitori. Se mi occupo di geolocalizzazione, accedo solo a quei dati. Ai dati dei dipendenti devono accedere solo i dipendenti dell’HR. Ognuno accede ai dati che gli servono per la sua attività lavorativa. E la Guardia di Finanza ci guarda!
  • trasferimenti: i destinatari (persone fisiche o giuridiche) a cui saranno comunicati i dati e il Paese di destinazione. Devi sapere a chi hai comunicato i dati di Peppino, Antonio e Giulia.
  • dati di DPO e Cotitolari
Quando viene fatto un controllo, il Nucleo speciale guarda tutti questi dati e li incrocia.

Registro, informativa, sistemi informatici: tutto deve essere allineato

Nell’informativa, cosa hai messo? Corrisponde a quello che hai inserito nel registro e a come gestisci poi i dati?
Poniamo che tu faccia un’informativa corretta. Dove chiedi il consenso al trattamento per ogni finalità – profilazione, trasferimento dei dati all’estero, trasferimento dei dati fuori dall’UE – poi vai a vedere il registro dei trattamenti e vedi che l’unica finalità indicata è il marketing.
È inconcepibile. Tutto deve essere coerente.
Tutti i documenti devono essere coerenti: quello che risulta nell’informativa deve essere presente anche nel registro dei trattamenti.
Se nell’informativa dici che i tempi di conservazione per le attività di marketing sono di 2 anni e per quelli di profilazione sono di 1 anno, lo stesso deve risultare nel registro dei trattamenti.
E questo è il primo match.
Poi i dati riportati nell’informativa e nel registro dei trattamenti, devono corrispondere anche alle implementazioni sulle banche dati. Quindi, se nell’informativa e nel registro dici che conservi i dati per 2 anni per le finalità di marketing e per 1 anno per la profilazione, non è possibile che poi sui sistemi li conservi per periodi diversi.
E queste cose la Guardia di Finanza le va a guardare.

Il registro dei trattamenti deve essere aggiornato, altrimenti non è adeguato

È fondamentale che il registro dei trattamenti sia aggiornato. Perché è fondamentale? Perché, se un interessato chiede a te, titolare del trattamento, di cancellare un dato – anche se ovviamente ci sono dei limiti alle sue richieste: non può chiederti di cancellare una fattura, per esempio – tu devi sapere dov’è quel dato e a chi l’hai dato. L’hai dato ad un partner? L’hai dato al responsabile esterno? Se non hai un registro dei trattamenti, come fai a sapere a quali partner e a quali responsabili esterni l’hai dato?
Oppure, hai acquisito il consenso alla cessione dei dati personali: devi sapere a chi li hai ceduti, altrimenti il diritto dell’interessato che ti ha lasciato il dato non può essere esercitato.
Il registro deve essere una mappatura aggiornata dei trattamenti.
Non basta istituirlo e poi lasciarlo lì.
Magari il 25 maggio del 2018 hai istituito il registro, poi l’hai lasciato perdere e non l’hai più aggiornato. Ma in 2 anni dall’entrata in vigore del Regolamento, che cosa hai fatto? Magari hai ampliato il trattamento. Se prima facevi solo marketing, adesso forse fai la profilazione.
Questa attività la devi riportare nel registro dei trattamenti.
Forse hai chiesto il consenso per la comunicazione di dati a terzi, anche questo va inserito nel registro. Oppure hai deciso di cambiare tutti i collaboratori esterni, tutti i partner, di affidare la gestione e le banche dati ad altri soggetti.
Tutto questo deve essere riportato nel registro dei trattamenti. Quindi è uno degli strumenti che non dico che deve essere aggiornato giornalmente, ma più o meno ci siamo. In qualsiasi momento, quando apri il registro dei trattamenti, devi avere una visione immediata dell’attività.
Se non è aggiornato, non è adeguato e quindi sei comunque sanzionabile.

Può essere cartaceo o in digitale, l’importante è che sia immediatamente consultabile

Il Regolamento non prevede particolari formati, quindi il titolare può scegliere liberamente se usare un foglio cartaceo, un foglio Excel, un documento elettronico, un software o altro per redigerlo e aggiornarlo. L’importante è che dia una visione immediata dei trattamenti che vengono fatti. E allora qui anche la scelta del formato ha le sue conseguenze.

Prendiamo il caso di una grossa società che tiene il registro dei trattamenti su dei fogli. Se la società aggiorna regolarmente il registro, il documento può arrivare anche a centinaia di pagine.
Come può dare una visione immediata dei trattamenti, di chi vede quei dati, di quali sono le misure di sicurezza adottate? È vero che il cartaceo è previsto, ma poi quello strumento deve essere consultato anche piuttosto velocemente. Non si possono perdere dei giorni solo per vedere chi sono i clienti e i partner.
E poi come si fa a garantire i diritti dell’interessato?
Se Peppino vuole sapere come tratti i suoi dati e a chi li hai dati, non puoi metterci dei giorni per reperire le informazioni. La legge ti dà 30 giorni per l’esercizio dei diritti e solo nei casi più gravi, che devi motivare, puoi utilizzare ulteriori 30 giorni. Ma se Peppino ti fa una richiesta d’accesso, gli devi rispondere immediatamente. Anche perché, se non rispondi, fa un reclamo all’Autorità Garante. Poi non è che l’Autorità ti scrive e ti obbliga a dare i dati che Peppino ti ha richiesto e non ti dà la sanzione.
Ti dà la sanzione eccome!
Per il semplice fatto di non aver garantito il diritto d’accesso, sei sanzionabile con la sanzione più alta, che è quella fino a 20 milioni di euro. Perché tutta la parte del GDPR che riguarda l’informativa e l’esercizio dei diritti, se non viene rispettata, rientra nella massima sanzione.
Quindi il registro dei trattamenti deve essere sempre aggiornato e di immediata consultazione. Se hai una piccola attività con un solo dipendente, puoi anche tenere un registro cartaceo. Diverso è il caso di un’azienda più grande, che di trattamenti ne fa moltissimi.

Chi è obbligato a istituire il registro dei trattamenti?

Tutti i titolari e responsabili con meno di 250 dipendenti, ma solo se non fanno trattamenti di rischio. Che cosa vuol dire? Vuol dire che possono essere rischiosi per i diritti e le libertà dell’interessato, che il trattamento non sia occasionale o che non riguardi dati particolari (ex sensibili). Quindi, sostanzialmente, sono tenuti all’obbligo di redazione del registro esercizi commerciali, esercizi pubblici o artigiani che hanno almeno un dipendente – bar, ristoranti, officine, negozi e così via – o che trattano dati sanitari dei clienti: parrucchieri, estetisti, ottici, odontotecnici, tatuatori. Ma anche i liberi professionisti con almeno un dipendente o che trattano dati sanitari o relativi a condanne penali o reati: commercialisti, avvocati, medici in generale, fisioterapisti, farmacisti, osteopati e così via. Sono obbligati anche associazioni, fondazioni, comitati che trattano dati particolari – associazioni che tutelano malati, persone con disabilità, associazioni sportive, partiti, sindacati e così via – e anche i condomini che trattano categorie particolari di dati, per esempio in caso di delibere per l’abbattimento di barriere architettoniche.

I soggetti con meno di 250 dipendenti possono optare per la forma semplificata di registro. Per esempio, un negozio che ha un solo dipendente, può tenere il registro solo per il trattamento dei dati di quel dipendente. Però il Garante consiglia di compilare il registro completo.

In generale, il Garante raccomanda la redazione del registro – in forma completa – a tutti i titolari e responsabili del trattamento.

Articolo tratto dall’intervento del Dottor Giuseppe Giuliano, Funzionario del Dipartimento Attività Ispettive del Garante per la protezione dei dati, su RAISE Academy
Questo era solo un assaggio!
La formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l’Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
FONTE: PrivacyLab BLOG: di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL –
Adattamento: N4B SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

GDPR – Standard Security Clauses (SSC): cosa sono

Quando parliamo di Standard Security Clauses (SSC) o clausole standard di sicurezza, stiamo parlando nell’ambito del trasferimento di dati personali all’estero, che è consentito solo se i dati vengono spostati effettivamente in condizioni di sicurezza, altrimenti non si può fare.
Ma cosa si intende per estero? dobbiamo riferirci ai confini nazionali Italiani o quelli dell’Unione Europea?
Il quadro di riferimento è quello del GDPR, quindi per estero intendiamo il trasferimento di dati personali verso i Paesi che non appartengono allo Spazio Economico Europeo, cioè quelli che non rientrano nell’area che comprende i Paesi dell’UE + Norvegia, Liechtenstein e Islanda, o verso un’organizzazione internazionale.
Prima di capire cosa sono le clausole standard di sicurezza e perché è importante conoscerle – soprattutto quando si sceglie un responsabile esterno – dobbiamo chiarire una differenza importante: il trasferimento dei dati all’estero non è un trasferimento transfrontaliero dei dati.

Trasferimento dei dati all’estero VS trasferimento transfrontaliero dei dati: quali sono le differenze

Il trasferimento transfrontaliero dei dati riguarda solo un trasferimento all’interno dell’Unione europea.
Quindi, passare un dato personale dal Piemonte a Parigi è come passare il dato dal Piemonte alla Lombardia, non cambia nulla. Infatti, essendo tutti parte dell’Unione Europea, gli Stati sono reputati adeguati, perché il GDPR vale in tutti i Paesi membri dell’UE, anche se non è detto che venga applicato con lo stesso rigore nei vari paesi.

Invece, se il dato viene trasferito al di fuori dell’Unione Europea, le cose si complicano e si entra nell’ambito del trasferimento di dati all’estero.

Trasferimento dei dati all’estero: la White List dei Paesi adeguati

Il primo aspetto da considerare è quanto riportato dall’articolo 45 del GDPR che recita che i trasferimenti di dati personali verso Paesi che non appartengono allo Spazio Economico Europeo o verso un’organizzazione internazionale sono consentiti, a condizione che l’adeguatezza del Paese terzo o dell’organizzazione sia riconosciuta, tramite decisione della Commissione europea.
Quindi la Commissione decide quali Stati garantiscono un livello di protezione adeguato e poi monitora periodicamente – almeno ogni 4 anni – se è ancora così.

Quali sono i criteri in base ai quali l’Unione Europea decide se un Paese estero è adeguato o meno? Le decisoni vengono prese sulla base:

  • delle norme in materia di privacy che ha adottato,
  • degli impegni internazionali che ha sottoscritto,
  • di come vengono applicate e rispettate queste norme.

Se il Paese risulta adeguato, la Commissione lo inserisce nella sua White List, che in questo momento comprende solo 15 Paesi e territori. Ma la White List non è immodificabile nel tempo.

Per esempio, adesso in lista c’è l’Argentina. Se durante la valutazione o successivamente dovessero succedere accadimenti che non permettano l’adeguatezza del paese, la Commissione europea può tranquillamente e immediatamente sospendere la decisione di adeguatezza o addirittura arrivare a revocarla.
E per i Paesi che non rientrano nella White List?
Il trasferimento è consentito se il titolare o il responsabile del trattamento forniscono garanzie adeguate, per loro è un OBBLIGO tutelare i diritti dell’interessato e devono anche spiegargli perché li hanno trasferiti lì, su quale base e dargli la possibilità di far valere i suoi diritti.
In molti paesi esclusi dalla White List le Autorità del Paese estero in cui abbiamo fatto il trasferimento spesso non sono disposte a collaborare in caso di un Data Breach, per cui bisogna fare molta attenzione.

Paesi fuori dalla White List e Standard Security Clauses

Se un Paese è fuori dallo Spazio Economico Europeo e fuori dalla White List, il trasferimento di dati è consentito, ma a condizione che il titolare o il responsabile del trattamento dia delle garanzie adeguate. Garanzie che possono essere di diverso tipo.
Una delle possibilità sono le Standard Security Clauses, cioè delle clausole contrattuali, incluse nel contratto relativo al trasferimento dei dati, in cui le parti si impegnano a garantire che le informazioni personali saranno trattate secondo i princìpi del GDPR, anche nel Paese estero in cui vengono trasferite.
Ecco il link al Sito del Garante per la protezione dei dati personali per la definizione dei trasferimenti dei dati all’estero (CLICCA QUI)
Articolo tratto dall’intervento del Dottor Gianrico Gambino su RAISE Academy.
Questo era solo un assaggio!
FONTE: PrivacyLab BLOG: di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL –
Adattamento: N4B SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

GDPR – Obiettivo: come fare (bene) il DPO

Il DPO è una figura centrale all’interno del nuovo impianto della privacy, inaugurato con l’entrata in vigore del GDPR.

Per questo, la formazione per questo ruolo è particolarmente importante. Corsi e master non mancano, ma forse manca la qualità: la maggior parte dei corsi spesso non riesce a calare la teoria in modelli pratici da seguire nel lavoro giornaliero di un DPO.

La legge ci dice che il DPO deve:

  • informare e fornire consulenza al Titolare del trattamento o al Responsabile del trattamento nonché ai dipendenti che trattano i dati personali;
  • sorvegliare l’osservanza della normativa comunitaria e nazionale nonché delle politiche del Titolare del trattamento o del Responsabile del trattamento riguardanti anche “l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”;
  • fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  • cooperare con l’autorità Garante nazionale;
  • fungere da punto di contatto per l’autorità Garante nazionale per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, nel caso, consultazioni relativamente a qualunque altra questione.

Si capisce bene che l’ambito di lavoro è veramente vastissimo ed il tutto è confermato dall’Autorità Garante: ”il DPO deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema organizzato di gestione dei dati personali, coadiuvando il Titolare nell’adozione di un complesso di misure (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare”. Garante dixit.

DPO: i requisiti (Ovvero cosa deve sapere)

Quindi quali SKILLS (oggi è di moda chiamarle così) devo avere? Quali corsi mi conviene frequentare?

Una prima considerazione da fare è sottolineare un aspetto che sembra sfuggire a molti, in relazione alla professionalità che il DPO deve possedere: a seguito della nomina ricevuta come DPO, infatti, molti ritengono di poter integrare le proprie competenze attraverso seminari, corsi, letture, ecc., ricercando patacchine e certificatucoli che poco hanno a che vedere con la capacità effettiva di riuscire a gestire ambiti complessi.

Se il vostro obiettivo è la PATACCA, ci sono decine di corsi di formazione e seminari per ottenerla.

Se il vostro percorso di formazione sta invece iniziando adesso, le prime conoscenze che vi servono partono dall’integrazione dei vocabolari.

Cosa intendo come Vocabolario? Intendo quell’insieme di definizioni, di metodi e di interpretazioni che sono alla base di questa professione in tutti e tre gli ambiti su cui il DPO opera (Legale, Tecnologico ed Organizzativo). Significa avere una solida padronanza almeno teorica di tutti gli argomenti ed aver quindi consolidato un metodo efficente per ricercare e valutare le fonti corrette ed efficaci.

ATTENZIONE: googolare “cosa significa accountability” oppure “l’antivirus è una misura obbligatoria per il GDPR?” NON è un metodo efficace.

Quindi a partire dalle competenze che avete, serve una formazione che integri le basi mancanti e vi dia la possibilità di capire cosa è giusto e cosa non lo è e vi permetta di valutare le fonti.

Conoscere i “vocabolari”, serve per poter disimpegnare i complessi compiti devoluti a questa figura, nella maggior parte dei casi occorre la presenza di diversi approfonditi saperi specialistici riferiti non solo al settore giuridico ma anche organizzativo, manageriale e tecnologico.

Verifica chi ti sta formando: è un DPO? Da quale ambito proviene?

La scelta di dove formarsi sui vocabolari deve basarsi sulla esperienza effettiva di chi sta erogando il corso.
Il docente è FONDAMENTALE. E’ un legale? Un informatico? Bene, ma non basta. E’ DPO? Dove? Fa formazione in Aula da quanto?

Queste domande sono fondamentali per definire se il Docente è in grado di trasferirci un vocabolario corretto, adeguato e non una rilettura a slide più o meno sistematica della legge o della tecnica.

Non serve a nessuno sapere tecnicamente come fare un HASH di un FILE, né che l’art 32 del GDPR ci dice questo e quell’altro (a leggere siamo capaci tutti, si spera!), ma serve avere approfondimenti operativi su come valutare l’aderenza di certe misure all’art 32 ad esempio.

Ci serve sapere quali sono i modi d’uso di una pec, cosa si intende per Accountability e come da DPO possiamo verificarla.

Una volta che padroneggiate i vocabolari nei tre ambiti, Legale, Tecnologico ed Organizzativo, è venuto il momento di cominciare a fare sul serio.

Come posso accrescere la mia competenza?

Ecco quindi che i corsi che ci possono servire debbono essere quelli con una fortissima impronta operativa, quelli che hanno workshop interattivi che ci mettono alla prova con casi pratici, quelli che ci portano esempi pratici di verifica, di ispezioni ricevute, di comportamenti da tenere, da attenzionare, di come sminare e gestire aspettative spesso non corrette dell’azienda che vede il DPO come il tuttofare della Compliance GDPR dell’azienda, quando è più un controllore di buone prassi.

In soldoni la formazione:

  • deve farci crescere nell’operatività da DPO, ci deve fornire una serie di domande con le risposte incluse e una metodologia semplice, chiara e basata su una reale esperienza per riuscire a rispondere alle domande di cui ancora non abbiamo risposta.
  • deve sempre avere una parte di workshop per permetterci il confronto con altri DPO con il docente. Ci deve essere la possibilità di simulare e di accedere ad un Know How che deve essere condiviso dal docente.
  • ci deve aiutare a creare la nostra cheklist e ci deve aiutare a identificare gli strumenti che permettono di lavorare in efficienza.

Corsi per DPO: RAISE ACADEMY scopri la proposta formativa di PrivacyLab

RAISE ACADEMY è la nuova proposta formativa di PrivacyLab, un modello di formazione efficace che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.

Questi sono i macro-moduli che troverete all’interno della RAISE Academy:
1 – Video-guide e corsi in e-learning 
Le video-guide sono sugli strumenti – testiamo Iubenda, testiamo OneTrust, testiamo Zoom e altri strumenti che gestiscono o che servono per la gestione del trattamento dei dati personali – e sono guide sulle tecnologie. Vanno dai 5 ai 25 minuti.
2 – Diretta settimanale
È il nuovo format di approfondimento in tavola rotonda che vede 2 esperti del settore, guidati da un moderatore, che discutono di un tema. 40 minuti live con question time.
3 – Esami di certificazione ed attestati
Esami per DPO, consulenti certificati e consulenti privacy.
Attestati di presenza e di superamento del corso.
4 – Pillole di GDPR
3 minuti di micro-approfondimenti sulle tematiche emerse in settimana su GDPR, cybersecurity e consulenza.
5 – 50 sfumature di GDPR
Sono delle interviste a personaggi ed esperti nazionali: professionisti che subiscono la privacy e professionisti che devono gestire la privacy
6 – 3 Bootcamp 
Sono 2 eventi all’anno più 1 PRIVACYLAB DAY.

REGISTRATI E SCOPRI RAISE ACADEMY – https://www.raiseacademy.it/

FONTE: PrivacyLab BLOG – contributo di Andrea Chiozzi – socio fondatore e CEO di PRIVACYLAB SRL

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Read More