GDPR – Cosa vuol dire “compliance”

05Compliance ed essere compliant sono espressioni tipiche di chi lavora nell’ambito del Regolamento europeo per la protezione dei dati. Avvocati, consulenti, esperti di GDPR usano spesso questo termine, ma quanti professionisti ed imprenditori sanno veramente cosa significa? In questo articolo vediamo cosa vuol dire compliance e soprattutto cosa significa essere compliant al Regolamento per la protezione dei dati. 

Il significato di compliance

Come accountability,(clicca per saperne di più) anche compliance è una parola anglosassone. Deriva da to comply cioè accondiscendere. A sua volta to comply deriva dal latino complere, che significa compiere (fonte Treccani.it). C’è compliance quando il paziente segue le prescrizioni del medico curante e quindi collabora attivamente seguendo le sue indicazioni. C’è compliance quando l’azienda, l’ente o il professionista aderisce e rispetta delle regole, delle leggi o il codice deontologico.
Adesione, conformità, rispetto delle regole.
Sono tutti sinonimi che possono chiarire il significato di questa espressione così usata in ambito GDPR.

La conformità in azienda: cosa vuol dire essere compliant

In azienda la compliance o conformità si esprime in molti modi:
  • Conformità alla legge – L’azienda è compliant quando rispetta le norme per la tutela dei lavoratori e la sicurezza sul lavoro, paga le tasse, non usa personale in nero, versa i contributi. Cioè agisce nel rispetto della legge.
  • Conformità ad uno standard – Tipico delle aziende produttive, anche il rispetto di determinate qualità e caratteristiche di un prodotto è un esempio di compliance.
  • Conformità a delle best practice o ai codici deontologici – È compliant l’azienda che rispetta le buone pratiche, i codici deontologici e tutte le regole di soft law, cioè le norme che non sono emanate dal Parlamento e dagli organi dotati di potere legislativo, ma che indicano le regole di comportamento di una certa categoria o di un settore.
Dice Treccani:

Secondo una prospettiva economico-aziendale, il termine compliance è messo in relazione al sistema di controllo interno, inteso come «l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi» Comitato per la corporate governance, Borsa Italiana S.p.a. (Codice di autodisciplina, 2006).

 

Quindi la compliance è legata alle regole e ai sistemi di controllo interni all’azienda, cioè alle procedure che adotta per garantire il rispetto delle leggi e delle regole interne ad essa: da come si comportano i dipendenti, i quadri e gli amministratori, fino alla scelta dei consulenti, dei fornitori e di tutti i soggetti che a vario titolo lavorano con l’azienda.

Cosa vuol dire essere compliant al GDPR

Essere GDPR compliant significa essere conformi al Regolamento europeo per la protezione dei dati, rispettarne i princìpi e adottare procedure organizzative e di sicurezza perché il rischio sui dati trattati sia basso, verificando che anche tutta la catena dei responsabili sia compliant, dai titolari ai responsabili esterni.
Essere conformi al GDPR significa anche che il titolare del trattamento, i suoi addetti ed i responsabili esterni (clicca per saperne di più) devono essere formati ed informati su cosa prevede il Regolamento, su cosa sono i dati personali, i dati sensibili, su cos’è e come si gestisce un Data Breach (clicca per saperne di più) (o violazione dei dati) e su come comportarsi per proteggere i dati personali.
Quindi, per essere compliant, bisogna agire con accountability.

Per essere conformi, bisogna agire con accountability

E per agire con accountability bisogna essere 3 cose: consapevoli, competenti e responsabili.

1 – Consapevoli

Il titolare del trattamento ed il responsabile esterno devono essere consapevoli di quello che stanno facendo e sapere:
  • quali dati trattano
  • dove si trovano i dati raccolti
  • di chi sono
  • come vengono utilizzati
  • perché vengono utilizzati

Quindi, per essere consapevoli, la prima cosa da fare è formarsi e rivolgersi a dei consulenti esperti e aggiornati, che siano un aiuto concreto verso la compliance al GDPR.

2 – Competenti

I dati vanno trattati solo se il rischio residuale è basso. Quindi prima di trattare un dato, è importante valutare i rischi che corre. Essere competenti significa che va fatta un’analisi dei rischi e quindi che si adottano le contromisure necessarie per proteggere i dati.
Ma quali sono i rischi che corrono i dati personali? Sono solo 6:
1 – Distruzione. Per esempio, qualcuno cancella per sbaglio o volontariamente l’unico file che contiene certi dati personali – come l’Excel con le mail di tutti i clienti – e non è più possibile recuperarli
2 – Indisponibilità. Per esempio, i dati ci sono, ma non sono più disponibili. È il caso del Cryptolocker che blocca tutti i documenti e non consente più l’accesso ai dati.
3 – Perdita. Per esempio, quando qualcuno ruba il computer che conteneva i dati personali.
4 – Alterazione. Per esempio, qualcuno modifica per sbaglio dei dati personali.
5 – Divulgazione. Per esempio, qualcuno diffonde dati personali su Facebook o via mail.
6 – Accesso. Per esempio, qualcuno vede dei dati che non doveva vedere perché accede ad un file che avrebbe dovuto essere protetto.
Ma questo non basta. Bisogna anche dimostrare – con i fatti e con la documentazione, non a parole – di aver adottato tutte le contromisure necessarie per far sì che il rischio residuale sui dati sia basso. Contromisure che non sono solo informatiche, ma anche organizzative.
Quali scegliere? Nulla è obbligatorio, sta al titolare decidere che tipo di contromisure adottare. La formazione di addetti, responsabili esterni e del titolare stesso, per esempio, fa parte delle azioni da mettere in campo per mantenere basso il rischio sui dati trattati.

3 – Responsabili

Adottare tutti gli accorgimenti interni non basta. Il GDPR obbliga il titolare del trattamento a verificare che anche i responsabili esterni – cioè coloro che trattano alcuni dati personali per conto del titolare; per esempio lo studio paghe, la software house, l’avvocato e così via – siano conformi al Regolamento e se non lo sono può revocare l’incarico. Quindi, per essere conforme al GDPR, il titolare deve controllare i suoi responsabili esterni,(clicca per saperne di più) sapere se si comportino in maniera adeguata, abbiano adeguate contromisure e trattino i dati in modo che il rischio residuale sia basso. Deve anche sapere se i responsabili esterni affidano parte dei trattamenti ad altri.
È una catena che deve essere chiara fin dall’inizio e che va certificata.

Ricapitolando

Compliance significa conformità. Essere compliant quindi significa essere conformi.
In ambito GPDR, essere compliant significa rispettare princìpi e regole previsti dal Regolamento europeo con un atteggiamento proattivo, non passivo di fronte alla legge, e quindi agire sempre e prima di tutto con accountability. (clicca per saperne di più)
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
FONTE: PRIVACYLAB BLOG – Redazione
Read More

Compliance GDPR: la governance esterna dei dati

Nel percorso verso la compliance al GDPR, cioè verso la conformità al Regolamento europeo per la protezione dei dati, il titolare del trattamento è obbligato ad avere il controllo delle informazioni personali che tratta: i dati personali dei clienti, dei dipendenti, dei fornitori e così via. Quindi deve sapere quali dati tratta, come li tratta, perché, per quanto tempo e dove sono.
Deve avere il controllo di tutte le informazioni, anche di quelle che affida all’esterno e di conseguenza anche della governance esterna dei dati.

Ma cos’è la governance e quindi cos’è la governance esterna dei dati?

La governance dei dati personali e la metafora della flotta di navi

Governance significa saper guidare un’organizzazione, dirigerla e controllarla in ogni condizione. Significa governare come il capitano di una nave, che conosce ogni anfratto del suo natante, ogni pecca, le migliorie fatte negli anni e che sa anche come manovrarla, sia quando il mare è calmo sia quando le onde e il vento sono contrari. Il capitano sa a chi affidare i compiti più delicati, perché fa una selezione basata sull’esperienza, la competenza e l’affidabilità.
E se il capitano è al comando di una flotta, la sua governance si estende anche alle altre navi, dove i vari capitani sono autonomi nella gestione della loro imbarcazione, ma devono sempre rispondere al comandante, rispettare i suoi ordini, collaborare. Così, se il capitano della flotta chiede loro di vedere il diario di bordo – dove dimostrano che hanno navigato seguendo le sue indicazioni – non possono astenersi dal mostrarglielo, se chiede di dimostrare la loro affidabilità e competenza, non possono esimersi dal farlo.
Lo stesso deve avvenire in ambito GDPR, quando il titolare del trattamento affida ad un responsabile esterno parte dei dati personali che tratta.
Da un lato, come il comandante della flotta, il titolare esercita la governance perché deve avere il controllo dei dati trattati sia all’interno dell’organizzazione – la sua nave – sia all’esterno – le navi sotto il suo comando – cioè deve sapere come i fornitori a cui ha deciso di delegare alcune attività (i responsabili esterni) trattano i dati che ha affidato loro. Quindi verifica che i responsabili esterni siano conformi al Regolamento per mantenere sempre il controllo completo del flusso dei dati, definendo chiaramente anche quali sono i ruoli e le responsabilità.
Dall’altro lato, come i singoli capitani della flotta, i responsabili esterni hanno il diritto di verificare il perimetro di applicazione dei vincoli – cioè il titolare non può nominarli senza il loro consenso e per il trattamento di dati che non li riguardano – ma devono essere proattivi, collaborare e garantire la tutela delle informazioni personali anche per la loro parte di trattamento.
Su questa base, sia il titolare del trattamento che i responsabili esterni possono agire con accountability, così come richiesto dal GDPR.

Verifica dei responsabili esterni e le presunte ingerenze del titolare del trattamento

Quindi il processo per la costruzione della compliance al GDPR è di tipo top-down: parte dall’alto – dal titolare del trattamento – e si estende verso il basso, comprendendo anche i responsabili esterni. Perché si compia, però, è necessario che tutti i soggetti che gestiscono i dati siano coinvolti e collaborino tra loro. E qui a volte sorge un problema.
Può succedere che il responsabile esterno si metta di traverso.
L’art. 28 del GDPR dice che il responsabile del trattamento deve contribuire all’attività di revisione, comprese le ispezioni. Quindi gli chiede di essere proattivo, cioè di dimostrare che è conforme al Regolamento e di fare la sua parte anche in caso di visita ispettiva, producendo documenti – le prove – della sua compliance al GDPR. È legittimo che il titolare del trattamento, all’interno del contratto o della nomina del responsabile esterno, preveda delle clausole che definiscono questo coinvolgimento e il fatto di dimostrare la sua conformità.
Non si spiega allora perché, a volte, il responsabile esterno interpreti queste clausole come un’ingerenza non giustificata nelle sue modalità operative. Non è così. Il GDPR impone sia al titolare che al responsabile esterno l’obbligo di essere conformi e di collaborare insieme perché la compliance sia reale, perché non bastano i documenti.
La compliance è un percorso e richiede azioni continue. Quindi conservare la copia firmata del contratto o della nomina a responsabile esterno non è sufficiente, occorre predisporre l’evidenza di una verifica della loro efficacia. Cioè bisogna che il responsabile esterno dia delle prove, dimostri la sua conformità.
E poi non è neanche una novità quando si tratta di rapporti tra aziende: la qualificazione del fornitore, per esempio, è un’attività nota e già presente nelle imprese che hanno adottato un sistema di qualità (SGQ). In ambito privacy si traduce in una verifica della compliance del responsabile alla normativa.

Come si verifica la conformità del responsabile esterno?

La modalità di verifica del responsabile esterno non deve essere necessariamente quella dell’audit classico, ma può adeguarsi al contesto di applicazione, tenendo ben presenti la tipologia di dati personali trattati, le finalità del loro affidamento all’esterno e gli archivi eventualmente coinvolti. 
Ecco alcune indicazioni:
  • Questionari a risposta secca: SI/NO/NA
Vanno usati cum grano salis, tenendo conto della specificità di ciascun trattamento. Per evitare che non risulti un’autocertificazione, deve prevedere la possibilità di fornire evidenze concrete, per esempio allegando parte della documentazione del responsabile per dimostrare quanto dichiarato.
  • Cosa valutare?
Non solo gli aspetti tecnici. Gli aspetti tecnici sono importanti però costituiscono nel loro complesso un elemento di prova che il titolare può usare per capire se il responsabile agisce in modo adeguato al GDPR. Ma lo sono altrettanto anche gli aspetti procedurali come, per esempio, la capacità di gestire un Data Breach in tutte le sue fasi, a partire dalla sua rilevazione.
Non finirò mai di ripeterlo: non basta dichiarare, bisogna dimostrare. 
Ma paradossalmente, tutte le check-list si concentrano sulla dotazione del registro delle violazioni e ben poche esplorano la presenza di procedure per rilevarle e valutarle.
Come migliorare? Come essere più concreti?
Bisogna fare un passo in più. Bisogna definire, adottare e diffondere una policy specifica per l’uso e la protezione dei dati personali (Data Protection Policy), che comprenda, tra le altre, anche una procedura per la valutazione dei partner – cioè dei responsabili esterni – e che impegni il titolare a svolgere attività di monitoraggio interno ed esterno.
La Data Protection Policy è un documento che, se redatto adeguatamente, potrebbe integrare e sostituire il regolamento informatico e dimostrare la presenza nell’organizzazione di tutte le procedure organizzative per la protezione dei dati, così come richiesto dal GDPR.
FONTE: Privacylab BLOG – by Andrea Chiozzi socio fondatore e CEO di PRIVACYLAB SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

GDPR – Autorità Garante: datori di lavoro e Coronavirus cosa NON fare

Coronavirus? No alle iniziative fai da te! Il 2 marzo 2020 l’Autorità Garante ha pubblicato un comunicato in cui chiarisce cosa NON devono fare i datori di lavoro pubblici e privati e quali obblighi ha il lavoratore che sospetta di essere malato. Bene. A distanza di un paio di mesi circa il Governo ha lanciato la fase 2. Sono stati adottati dei protocolli per la riapertura di alcuna attività e quindi sempre di più, oggi, si pone il problema di come gestire dipendenti, fornitori e visitatori tutelando i loro dati personali e rispettando il GDPR.
In PrivacyLab abbiamo organizzato un webinar proprio su questo tema. Abbiamo visto cosa si può fare e cosa non si può fare. Abbiamo anche dato consigli pratici per gestire la situazione e in questo approfondimento riprendiamo un po’ tutto quello che abbiamo detto e scritto, per ricostruire un percorso chiaro, completo e conforme di gestione dell’emergenza a norma GDPR.

Le richieste al Garante e le sue risposte del 2 marzo

Fin dall’inizio dell’emergenza Covid-19, l’Autorità Garante ha ricevuto molte richieste da parte di soggetti pubblici e privati, che chiedevano se fosse possibile raccogliere informazioni su sintomi e spostamenti recenti, per prevenire il contagio da Coronavirus. Anche molti datori di lavoro pubblici e privati, preoccupati dal virus, hanno chiesto all’Autorità se fosse possibile avere una “autodichiarazione” da parte dei dipendenti in cui attestare di di non avere sintomi influenzali e lasciando altre informazioni di carattere privato.

Le risposte del Garante: no al fai da te

  • I datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini non consentite, informazioni sulla presenza di eventuali sintomi influenzali del lavoratore e dei suoi contatti più stretti o comunque rientranti nella sfera extra lavorativa.
Non sono attività di loro competenza.

L’accertamento e la raccolta di informazioni relative ai sintomi tipici del Coronavirus e alle informazioni sui recenti spostamenti di ogni individuo spettano agli operatori sanitari e al sistema attivato dalla protezione civile, che sono gli organi deputati a garantire il rispetto delle regole di sanità pubblica recentemente adottate.

Però, il lavoratore ha l’obbligo di segnalare al datore di lavoro qualsiasi situazione di pericolo per la salute e la sicurezza sui luoghi di lavoro. Al riguardo, il Ministro per la pubblica amministrazione ha dato indicazioni operative ai dipendenti pubblici e per chi opera a vario titolo presso la P.A. di segnalare all’amministrazione di provenire da un’area a rischio. In tale quadro il datore di lavoro può invitare i propri dipendenti a fare tali comunicazioni agevolando le modalità di inoltro delle stesse, anche predisponendo canali dedicati.
  • I datori di lavoro hanno il compito di comunicare agli organi preposti l’eventuale variazione del rischio “biologico” derivante dal Coronavirus per la salute sul posto di lavoro e gli altri adempimenti connessi alla sorveglianza sanitaria sui lavoratori per il tramite del medico competente, come, ad esempio, la possibilità di sottoporre a una visita straordinaria i lavoratori più esposti.

Leggi il testo completo del comunicato dell’Autorità Garante qui

Nel frattempo, i chiarimenti e le indicazioni normative su come gestire il Covid-19 in azienda si sono moltiplicati e oggi abbiamo una serie di riferimenti da cui partire per avere un quadro chiaro, per agire cum grano salis e senza ansia da prestazione di fare le cose pur di raggiungere l’obiettivo. Che se ci facciamo prendere dall’asia da prestazione, se facciamo i fenomeni, poi ci ritroviamo con delle violazioni dei dati che avremmo dovuto prevedere, magari mettendo pure a rischio diritti e libertà fondamentali, perché non ci abbiamo pensato prima.

Come gestire l’emergenza Covid-19 nei luoghi di lavoro: cosa dice la legge

Come dobbiamo comportarci durante il lavoro quotidiano, in questo periodo di Coronavirus, per gestire le cose nel rispetto del GDPR? Per prima cosa non andando a casaccio, ma guardiamo le norme.
È fondamentale sempre e comunque avere il riferimento normativo e quindi andare a guardare quello che ci dice la legge. Non dobbiamo cercare chissà dove, perché nel Regolamento europeo per la protezione dei dati troviamo già tutto quello che serve, tutto quello e che è necessario per riuscire a gestire le informazioni personali ed eventualmente gestire quelle aggiuntive – perché la situazione ci ha imposto dei cambiamenti organizzativi – che dovremo poi trattare.
I riferimenti normativi che devi avere sotto sono – macroscopicamente – solo 5:
  • 1 – Il GDPR 
  • 2 – Il Novellato 101 – cioè la modifica del decreto legislativo 196 italiano (Codice Privacy) – che ha aggiunto alcuni aspetti sul trattamento dei dati particolari legati al Coronavirus
  • 3 – Il Testo Unico sulla sicurezza dei lavoratori (D.lgs. 9 aprile 2008 n.81)
  • 4 – I decreti emanati dal Presidente del Consiglio dei Ministri 
  • 5 – Il Protocollo di Intesa firmato da sindacati ed associazioni di categoria, che è uscito il 14 marzo 2020 e che dà delle indicazioni precise – è un Protocollo d’Intesa, non una legge – su come ci dobbiamo comportare
Questo è il quadro normativo da tenere come riferimento. Fossi in te io mi stamperei le varie norme.
È un consiglio. Da sempre tengo la norma stampata lì vicino, la sottolineo, vado a guardare le varie situazioni, me la tengo come riferimento. Nel dubbio me la vado a rivedere.
Questo è molto importante, secondo me.
Bene, adesso che hai stampato tutto e che hai il quadro normativo sotto gli occhi, riprendiamo il discorso e cerchiamo di capire una cosa importante: la situazione che stiamo vivendo ha alzato l’asticella nella gestione trattamento dei dati dei dipendenti? Dobbiamo fare più lavoro per essere GDPR compliant?
La norma ci impone di fare di più? No. Nel GDPR c’è già tutto.

Il GDPR ha già previsto tutto

In una logica di accountability, di responsabilità, la norma già prevede tutto quello che serve per gestire l’attività, sia prima che dopo il Coronavirus.
Il concetto è essere consapevoli. Essere responsabili. Perché la norma al suo interno ci dà indicazioni precise che abbiamo sempre dovuto seguire e che dobbiamo seguire anche adesso:
  • Se fai qualcosa con i dati personali, devi indicarlo nell’informativa
L’articolo 9 del Regolamento europeo al punto B ci dice una cosa chiara. Ci dice: guarda titolare del trattamento, tu puoi trattare i dati particolari dei tuoi dipendenti (i dati ex sensibili), però, devi indicarlo nell’informativa e non devi chiedere nessun consenso.
E poi, oltre a questo articolo, bisogna tenere presenti anche gli articoli 13 e 14 del GDPR che ci dicono come si gestiscono le informative.
  • Prima di fare qualcosa, pensaci!
Gli articoli 25 e 32 del GDPR invece parlano di privacy by design e by default. Cosa vuol dire? Vuol dire che, prima di fare qualsiasi cosa, devi pensare bene se i dati che stai trattando sono quelli giusti, se hai messo tutto a posto, se tutto funziona e se le misure di sicurezza sono giuste, in modo che i dati trattati non rischino nulla.
  • È il caso di fare una DPIA?
L’articolo 35 sulla DPIA (Data Privacy Impact Assessment), cioè la valutazione del rischio residuale, ci dice: caro titolare, se gestisce dei dati personali particolari legati al Coronavirus, devi fare una DPIA.
  • Documenta tutto nel registro dei trattamenti
Sempre in tema di rischi, gli altri riferimenti da tenere sotto mano sono l’articolo 30 sul registro dei trattamenti e l’articolo 33 sulla gestione delle eventuali violazioni, perché, qualsiasi modifica o cambiamento che andrai a fare, impatterà sul tuo registro dei trattamenti, dovrai aggiornarlo e aggiornando il registro, dovrai mettere in piedi anche delle eventuali misure aggiuntive, per verificare possibili e potenziali violazioni che possono verificarsi durante il trattamento di questi dati aggiuntivi.
Dal punto di vista del GDPR, il fatto che noi possiamo trattare dei dati personali, quindi non solo nome e cognome del dipendente, del fornitore, del cliente che viene in azienda, ma anche dati relativi alla situazione sanitaria della persona, era già previsto dal Regolamento, che già dava indicazioni su cosa si poteva fare e su cosa non si poteva fare.

Indicazione generale: prima di fare un trattamento, pensaci

Come sempre, come ripeto ogni volta a stufo, la cosa più importante nel trattamento dei dati personali è avere consapevolezza di dove stai andando. Perché, se non sai dove stai andando, è un problema. Non sei mica Bear Grylls, che viene buttato in una foresta amazzonica, ma riesce a trovare il modo di mangiare e di tornare a casa. Non puoi andare allo sbaraglio. Quindi, prima di fare qualsiasi cosa – Coronavirus o no – devi sapere:
1 – Dove sei e quali dati tratti
2 – Dove vuoi andare
3 – Perché vuoi trattare quei dati
4 – Come trattare i dati e con quali strumenti, per avere un trattamento filante in ottica di accountability 
Analizzi i provvedimenti e in base ai comportamenti da tenere, decidi cosa può essere applicato nella tua struttura e cosa no. Valuti se la misura che vuoi adottare – per esempio, misurare la temperatura ai dipendenti – è un trattamento di dati personali, oppure no, come farlo, come gestirlo e dove vuoi arrivare. È la logica dell’accountability. Logica già presente nel GDPR e che devi applicare esattamente nella stessa maniera, anche in questa situazione di pandemia, per i trattamenti che fai già e per quelli aggiuntivi, nel caso in cui dovessi farli. Bene.

Occhio agli strumenti!

Sapere cosa fare è fondamentale, così come scegliere gli strumenti per arrivare all’obiettivo. Devi avere il controllo degli strumenti. E qui, in queste settimane di pazzia, mi sono accorto che, prese dall’emergenza, prese dall’ansia da prestazione di raggiungere l’obiettivo di portare avanti l’attività, in condizioni di emergenza e in piena pandemia, molte aziende hanno scelto di usare strumenti inadeguati al GDPR. 
Uno fra tutti? Zoom!
Zoom è uno strumento potenzialmente inadeguato ma lo hanno usato tutti, dall’aziendina alla scuola.
E questo, bada bene, è un discorso indipendente dal tipo di dati trattati. Sensibili o non sensibili, poco importa. Il problema sta proprio nella scelta degli strumenti, che non andava bene perché erano strumenti non adeguati o perché gratis o perché gliel’ha detto il cugino o perché non avevano nient’altro o perché il loro fornitore ha detto “No, no, tranquilli! Questo strumento va benissimo…”
Non c’è consapevolezza nella scelta dello strumento. Ma la scelta dello strumento è all’interno del contesto del GDPR, quindi vuol dire che anche prima del Coronavirus dovevi scegliere strumenti a norma con il Regolamento!
Prima, adesso, domani, il GDPR ti dice che devi valutare gli strumenti, verificare i responsabili esterni e capire se sono adeguati o meno a trattare i dati che gli dai. Roba vecchia, nessuna novità.

Sei un titolare del trattamento? Devi fare 3 cose

Quindi non va bene dire: “Ditemi quali documenti devo usare, che li stampo, li lascio ai miei dipendenti e poi buonanotte al secchio!” Non è così. Il concetto parte da prima. In quanto titolari del trattamento – mi ci metto dentro anche io è chiaro – dobbiamo:
1 – Decidere quali dati trattare
2 – Decidere quali strumenti utilizzare (verificando che siano conformi al GDPR)

3 – Verificare preventivamente se la strada che abbiamo intrapreso è una strada corretta o se stiamo guidando un po’ alla cieca, che vuol dire che non abbiamo definito perché vogliamo usare certi dati e per quali finalità.

E adesso andiamo nel pratico, con un vademecum semplice e chiaro.

Come gestire l’emergenza Covid-19 nei luoghi di lavoro: cosa devi fare?

Riepiloghiamo. Abbiamo detto che c’è una base normativa – il GDPR – che ci dà delle indicazioni importanti su cosa dobbiamo fare quando trattiamo dei dati personali. Ma non è l’unica, ci sono anche il Testo Unico sulla sicurezza nei luoghi di lavoro, i decreti del Presidente del Consiglio e il protocollo condiviso uscito il 14 marzo 2020 per il contrasto e per il contenimento del Covid-19. Il protocollo lo teniamo come indicazione, perché ci dice come dobbiamo comportarci nel momento in cui dobbiamo aprire e lavoriamo. Bene.
Punto per punto, andiamo vedere cosa devi fare.

1 – Stabilisci il protocollo da seguire: poche regole, ma chiare

Il Protocollo di Intesa ci dice come dobbiamo comportarci. Quindi in azienda, devi avere bene chiaro qual è il protocollo da seguire, che è semplice e che tocca tutti i dipendenti:
1) Se hai la febbre, stai a casa e chiama il tuo medico curante
2) Devi usare sempre la mascherina
3) Devi rispettare la distanza di sicurezza di almeno 1 metro dalle altre persone
4) Se sei entrato o entrata in contatto con persone in quarantena devi comunicarlo al tuo medico, perché è il tuo medico che ti dice se puoi andare a lavorare oppure no

5) Se durante la prestazione lavorativa stai male, hai la tosse e ti viene la febbre, dillo alla persona preposta, che dovrebbe essere il medico competente, se l’azienda ce l’ha, o un’altra figura incaricata di gestire la cosa

2 – Dai informazioni semplici e comprensibili

Stabilite le regole, devi prima di tutto informare i dipendenti e le persone che entrano in azienda su quali sono queste regole e devi avere la sicurezza che le informazioni che dai siano semplici, chiare e comprensibili. 
Devi avere la certezza che l’altra parte abbia recepito come si deve comportare: fai dei cartelli con scritte e disegnini – la figurina dell’omino con la mascherina, quella della pistoletta che misura la temperatura, la freccina con la distanza di sicurezza eccetera – così le persone quando arrivano al primo turno li vedono, poi dai anche la mascherina e insieme alle mascherine dai un foglio in cui c’è scritto in modo chiaro quali regole bisogna seguire.
È fondamentale la chiarezza. È fondamentale perché viene richiesta anche dal Regolamento europeo. Poi verifichi che le persone abbiano capito. Non va bene dare 50 fogli ad Abdul che lavora nella catena di montaggio dell’acciaieria e dirgli: firma questi. Perché li firma, se glielo dici. Ma poi ha capito? Abdul, Antonio, Giulia, per la loro sicurezza e per quella degli altri, devono capire chiaramente come si devono comportare e a chi rivolgersi.
Attenzione: le regole che ho elencato finora non toccano il trattamento dei dati personali! Perché, dare le informazioni con i cartelli e un foglio all’ingresso, significa informare e basta. Punto. Dici solo quali sono le regole. Non devi chiedere nient’altro: l’obbligo di erogare l’informazione a tutti non implica alcun trattamento di dati personali.

3 – Gestisci le persone

Bene. Adesso che le persone sanno come devono comportarsi, ogni giorno da qui a quando l’emergenza non sarà finita, vanno gestite.
Come? Adesso lo vediamo.

Misurare la febbre sì, registrare le temperature no, a meno che…

Prima cosa: quando le persone arrivano, devi misurare la febbre a ognuno.
Cosa succede se uno ha più di 37.5? Stop!
Gli dici “No, non puoi entrare. Vai dal tuo medico curante per farti dare la malattia, deciderà lui se e quando potrai rientrare al lavoro”
E dove va scritta la temperatura? 
Secondo me, come mia indicazione personale, non va scritta da nessuna parte. Me se proprio la vuoi scrivere, allora sappi che stai iniziando a trattare dei dati personali. Il trattamento temporaneo nella testa della persona che prende la temperatura e poi non la riporta da nessuna parte – resta lì nella sua testolina – non c’entra nulla col GDPR. L’ha chiarito anche il Garante.
Se però inizia a scrivere i dati e li riporta da qualche parte, allora sì che è un trattamento dei dati personali e quindi rientra nel GDPR e va gestito secondo il Regolamento.
Ma poi perché dico io, uno dovrebbe scrivere la temperatura delle persone. Perché?
Ti serve davvero sapere questa cosa?
L’articolo 5 del GPDR sulla minimizzazione del trattamento ci dice: prima di prendere delle informazioni, chiediti se ti serve davvero questa informazione o puoi farne a meno.
cosa ti serve avere un elenco con la temperatura dei tuoi dipendenti?
Nel momento in cui uno ha la febbre non può entrare. Punto. È un po’ come una persona che ha la gamba rotta e che quindi non può andare sopra il muletto. Secondo te ha senso che un’azienda registri chi ha la gamba rotta e chi no? Per me non ha nessun senso.
“Ah ma sapere se Peppino ha la febbre, mi serve per capire se è idoneo al lavoro oppure no…”

“Eh no! Mica è di tua competenza!”

È il medico che decide se il dipendente è idoneo o non è idoneo, non tu

La competenza di dire che Peppino è idoneo o non è idoneo al lavoro è del medico curante e del medico del lavoro. Non è del datore di lavoro.
“Eh, ma se poi Peppino mi arriva in azienda e vedo che ha la febbre a 38?”
“Benissimo. Se ha la febbre sopra il 37.5 gli dici: Peppino, vai dal medico competente che così ti visita e stabilisce se puoi tornare al lavoro oppure no. Perché è il medico competente che dà l’idoneità e che valuta se è il caso di attivare i protocolli sanitari per il trattamento del Covid-19 oppure no. Lui avvisa l’ASL e gli enti preposti.”
Quindi direi che non c’è nessuna necessità di registrare le temperature. Anche perché, mica è detto che Peppino abbia il Coronavirus, potrebbe avere un’altra cosa, ma tu, titolare dell’azienda non devi saperlo, deve saperlo il medico curante. Potrebbe avere un ascesso, aver preso un colpo di calore, aver bevuto troppo e ha la cirrosi epatica. Non ti deve interessare!
Lo dice anche il Garante: sulla idoneità al lavoro non è competente l’azienda, è competente il medico, che verifica in autonomia il dipendente malato perché è un titolare del trattamento – per i trattamenti che fa sul dipendente – mentre l’azienda, in quanto responsabile esterno, sa solo se Peppino è idoneo o non idoneo. Basta.
Se la differenza tra titolare e responsabile esterno del trattamento non ti è chiara, dai un’occhiata all’approfondimento GDPR: Titolare, Responsabile, Addetto

Fatto? Bene. Andiamo avanti.

No alle autodichiarazioni: non servono e poi sono trattamenti di dati da gestire. Sicuri di volerle gestire?

Tutte le autodichiarazioni in cui il dipendente dice che non è in quarantena e che non ha il Coronavirus non hanno nessun senso. Anche il Garante dice: “Non prendete autodichiarazioni.” Perché?
Perché è il medico che avrebbe dovuto spiegare al dipendente che se ha dei sintomi da Coronavirus deve telefonargli per dirglielo. Poi, tu, azienda, glielo spieghi e glielo ricordi. Punto.
Non solo. Se tu come azienda chiedi l’autodichiarazione, allora stai gestendo anche dei dati personali!
Ricapitolo. Se prendi la temperatura e basta senza registrarla, se la valutazione dell’idoneità al lavoro la fa il medico, se non prendi autodichiarazioni del dipendente, allora significa che non stai trattando dati personali! Quindi viaggi via tranquillo come hai viaggiato fino adesso, per quanto riguarda il GDPR.

Smart Working: senza DPIA non lo puoi fare, lo sapevi?

Purtroppo o per fortuna, vista la situazione, c’è la possibilità di lavorare in Smart Working, che è un’opportunità, ma che tocca il trattamento dei dati personali. Quindi se alcuni dei tuoi dipendenti lavorano in Smart Working già da adesso, sappi che è quasi certo che tu debba aggiungere alcune cose sia sul registro dei trattamenti sia sulle informative che dai dipendenti.
Anzi, dovresti fare la DPIA!
Io l’ho sempre detto per me la DPIA dovrebbero farla tutti, a prescindere. Ma sei fai Smart Working e se trattati dati legati al Coronavirus, hai la certezza: devi fare la valutazione di impatto su quel trattamento.
È obbligatorio, altrimenti non puoi fare lo Smart Working!
“Eh, ma non sono mica trattamenti di dati su larga scala…”
“Chissenefrega! Il trattamento che fai può portare ad una grave discriminazione. Se Antonio che lavora in Smart Working è collegato con la VPN, tu azienda riesci a vedere tutto, perché vengono registrate le navigazioni: quando si collega, quando si scollega, che siti guarda. Riesci a vedere tutto.”
Se un giorno Antonio scopre che c’è l’abbonamento gratuito a Porn Hub e usa la VPN per collegarsi e guardare le donnine nude, è un rischio per lui, perché potrebbe essere discriminato e anche in maniera grave! Può ledere i suoi diritti e le sue le libertà.
Se Antonio perde il lavoro perché l’azienda ha visto che usa Porn Hub è una discriminazione.
“E quindi cosa facciamo? Non registriamo?”
“Meglio! Se vuoi registrare, registra, ma nel momento in cui decidi di farlo, se tratti quei dati, devi fare la DPIA. Che comunque è necessaria in caso di Smart Working, perché l’azienda riesce a vedere quando i dipendenti si collegano, per quante ore, se si connettono dopo e si disconnettono prima dell’orario di lavoro, quante ore fanno… E possono dire: ho visto che hai lavorato solo 6 ore e mezza invece di 8. Adesso ti do meno soldi, oppure ti faccio una nota di demerito.”

Perché quel trattamento che stai facendo sulla persona che lavora in Smart Working può essere discriminatorio, a prescindere dal fatto che sia su larga scala oppure no.

Gestione della filiera dei contatti

Ci sono alcune aziende che, per la gestione della sicurezza antincendio e altre esigenze, prendono nota di chi entra in azienda e di dove va, perché, se succede qualcosa, bisogna poter dire chi era presente: se viene giù tutto – per esempio c’è un terremoto – bisogna sapere dove sono queste persone per andarle a cercare.
Questa cosa è già presente in diverse aziende ed è una prassi, quindi non è obbligatoria.
Però, se vuoi, in questa fase di Coronavirus, puoi adottarla, segnando chi arriva in azienda, quanto rimane e dove lavora, perché tu possa dirlo se ti viene chiesto. Quindi solo se ti viene richiesto da chi è preposto, cioè i medici della ASL, i medici competenti, la Protezione Civile nelle persone indicate, per verificare i contatti di una persona infetta.
La gestione della filiera dei contatti è una cosa semplicissima, non è che devi infilare un chip con la geolocalizzazione nel sedere dei dipendenti, per vedere se non rispettano la distanza di sicurezza di 1 metro. Basta prendere le presenze e avere il buon senso di poter dire che Antonio lavora in amministrazione, ha lavorato dalle 8 alle 18 in amministrazione in questi giorni. Dalle 8 alle 18 in amministrazione negli stessi giorni c’erano anche Francesco e Giulia. Semplice.
Molte aziende ce l’hanno già e dovrebbero già avere questa informazione nel loro registro dei trattamenti, aver fatto le cose corrette e averlo anche scritto nell’informativaDovrebbero. Quelle che invece non hanno questo tipo di gestione, nel momento in cui decidono di mettere su questo tipo di controllo, devono inserirlo nel registro dei trattamenti, indicare questo trattamento nell’informativa dei dipendenti e consegnare loro l’informativa.
Il controllo della filiera non prevede la DPIA però devi verificare le misure prima di fare il trattamento e rendere evidente di averle fatte.
E come si fa a rendere evidente questa cosa?
La rendi evidente perché hai messo nell’informativa che fai il trattamento, hai dato istruzioni a chi poteva vedere quei dati su come si doveva comportare, hai nominato gli addetti e adottato le misure di sicurezza. E perché su quel trattamento hai fatto l’analisi dei rischi, verificando che il rischio residuale è basso.
E quando ci sono dei visitatori esterni?
Quando in azienda arrivano dei visitatori esterni, il protocollo d’intesa ci dà alcune indicazioni banali: i visitatori devono avere dei bagni apposta per loro, dove non c’è nessuno, se sono dei padroncini devono scaricare e ricaricare in un certo modo eccetera.
Ma non toccano il trattamento dei dati personali

Cosa succede se un dipendente sta male durante l’orario di lavoro?

Peppino alle 8 ha il primo turno di lavoro. Giulia, l’addetta, gli misura la temperatura: 36,8. Niente tosse. Peppino entra nel capannone e inizia a lavorare. Alle 14.30, dopo pranzo, Peppino inizia a stare poco bene. Tossisce. E adesso?
Scatta il protocollo e quindi:
1) Peppino deve avvisare la persona incaricata per seguire queste situazioni
Bisogna aver dato la regola chiara che dice: se il dipendente si sente male, deve andare a chiamare una certa persona definita dall’organizzazione. Se in azienda c’è il medico, va dal medico. Se è il responsabile sulla sicurezza, allora va dal responsabile sulla sicurezza. Se è una persona dello Human Resources, allora va dal nominato dello Human Resources.
2) Peppino si misura la febbre, se ha la tosse va in isolamento, l’incaricato chiama l’ASL
Misuri la febbre. Se la febbre è più alta di 37.5 e se Peppino ha la tosse, bisogna che vada in una stanza isolata. L’incaricato chiama l’ASL. Fine. Stop.
Non scrivi niente da nessuna parte. Ti arriverà eventualmente il certificato di malattia, quando i medici avranno fatto le loro verifiche.
Io per eccesso di paraculismo chiamo anche il medico competente e gli dico: “Sai, forse abbiamo un caso di Covid in azienda e l’abbiamo gestito così. Va tutto bene?”

La procedura è questa. Anche perché Peppino potrebbe non averlo il Covid: viene gestito come qualsiasi persona che non sta bene, con l’accortezza in più di tenerlo in isolamento e di chiamare l’ASL competente. Facendo così, non fai nessun trattamento in più rispetto alla normale gestione di un dipendente che sta male.

Minimizza i dati, perché se c’è un Data Breach legato al Coronavirus rischi una causa civile

Meno informazioni tratti, soprattutto se si tratta di dati sensibili, cioè quelli che adesso si chiamano dati particolari, è meglio perché se poi da qualche parte scappa qualcosa – se c’è una violazione – sono problemi grossi.
Se tratti dati personali legati al Coronavirus e c’è un Data Brach (una violazione) – le informazioni vengono perse, qualcuno che non doveva vederle le ha viste o uno degli altri casi violazione dei dati – il dipendente malato di Codiv-19, grazie al Novellato 101, può fare una causa civile contro l’azienda per responsabilità diretta sulla gestione del trattamento dei dati personali.
Ecco perché la minimizzazione dei dati è fondamentale.
Quindi dal mio punto di vista bisogna:
1) Minimizzare il più possibile i trattamenti, cioè ragionare se è davvero necessario fare quel trattamento dei dati e se decidi di trattare quei dati, devi anche aggiornare il registro, l’informativa, usare l’adeguata base giuridica
2) Nominare gli addetti e gli incaricati nella gestione di chi presenta sintomi da Covid-19
3) Fare la DPIA, cioè fare la verifica e l’analisi dei rischi perché il rischio residuale sia basso
4) Fare le verifiche sulle misure di sicurezza fisiche, logiche e organizzative
Punto. Questo è quello che devi fare, per gestire la riapertura e le attività in questa emergenza.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

GDPR: rispetto del periodo di notifica della violazione di 72 ore

Oltre al sistema Terra-Luna, sono noti migliaia di asteroidi noti come Near-Earth Objects (NEO). Queste rocce attraversano periodicamente l’orbita terrestre e formano un vicino sorvolo della Terra. Nel corso di milioni di anni, alcuni addirittura si sono scontrati con la Terra, causando estinzioni di massa. Non c’è da stupirsi quindi perché il Center for Near Earth Object Studies (CNEOS) della NASA sia dedicato al monitoraggio degli oggetti più grandi che occasionalmente si avvicinano al nostro pianeta.

Se studi l’astronomia, probabilmente hai familiarità con il concetto di NEO, che sono oggetti che potrebbero colpire la terra e potenzialmente causare un evento di estinzione. Per gli MSP, le violazioni dei dati possono avere lo stesso effetto sulle loro attività come i NEO possono avere sulla Terra. L’ obbligo del regolamento generale sulla protezione dei dati (GDPR) di indagare e segnalare violazioni dei dati entro una finestra di 72 ore può far sentire le violazioni dei dati altrettanto minacciose in termini di potenziali danni.

Il testo del GDPR può sembrare vago quando si tratta della parte di notifica della violazione dei dati. Tuttavia, ciò che possiamo dire con certezza è che, ad un certo punto, probabilmente avrai un cliente che ti chiede di aiutarlo a soddisfare i requisiti di risposta alla violazione dei dati del GDPR. Potrebbero anche non avvicinarti: potresti essere tu a scoprire la potenziale violazione. Di conseguenza, è importante conoscere le procedure sulle violazioni dei dati da seguire.

Statistiche e fatti chiave sulla segnalazione di violazioni dei dati

Ai sensi dell’articolo 33 del GDPR, le informazioni richieste ai sensi del GDPR per la segnalazione di una violazione dei dati includono:

  • La natura della violazione
  • Il nome / i dettagli di contatto del responsabile della protezione dei dati dell’organizzazione
  • Le probabili conseguenze della violazione
  • Le misure adottate o proposte dal titolare del trattamento per far fronte alla violazione e mitigarne gli effetti negativi

Ciò significa che dovrai determinarli nel miglior modo possibile dopo aver scoperto una violazione e, se necessario, riferire alle autorità entro la finestra di 72 ore.

Preoccupato per la scadenza di 72 ore? Bene, qui ci sono due statistiche che sono ancora più preoccupanti:

  • Sono necessari in media 191 giorni per identificare una violazione dei dati
  • Meno del 19% delle violazioni dei dati viene rilevato automaticamente

Fortunatamente, la finestra dei rapporti di 72 ore inizia dal momento in cui l’organizzazione viene a conoscenza della violazione. Tuttavia, è piuttosto difficile indagare su una violazione dei dati verificatasi settimane o mesi prima; ricorda che 191 giorni è il tempo medio impiegato per identificare una violazione. Quindi, dal punto di vista della risposta agli incidenti, prima viene rilevata la potenziale violazione, meglio è.

Queste statistiche dipingono un quadro piuttosto cupo dello stato attuale del rilevamento, dell’indagine e della risposta della violazione dei dati. Il GDPR richiederà agli MSP di indagare e rispondere a tutte le violazioni dei dati, e ciò potrebbe essere reso più difficile se non spostano l’ago di rilevamento da 191 giorni a tre più vicini. Per avere una possibilità di combattere per affrontare questa sfida, sono necessari preparazione, strumenti e “un piano”.

In termini di preparazione, consulta le serie di post sul blog della Guida rapida alle strategie GDPR:

Blog 1 – Fornire formazione sulla sicurezza ai dipendenti dei clienti

Blog 2 – Protezione della posta e whitelisting delle applicazioni

Blog 3 – Gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’hard disk…

Blog 4 – le tecnologie di difesa dell’endpoint

Queste strategie potrebbero forse aiutarti a prevenire del tutto le violazioni dei dati dei clienti, ma la strategia principale per gli MSP dovrebbe in primo luogo ridurre sostanzialmente il rischio potenziale di una violazione dei dati dei clienti.

Comprensione delle minacce

Nonostante i tuoi migliori sforzi, un incidente di sicurezza può accadere a un cliente in un istante attraverso un semplice attacco di social engineering, errata configurazione o malware non rilevato. Anche un attacco ransomware potrebbe rientrare nella categoria di una violazione dei dati, il GDPR lo definisce come “una violazione della sicurezza che porta alla distruzione accidentale o illegale, perdita, alterazione, divulgazione non autorizzata o accesso a dati personali, trasmessi, memorizzato o altrimenti elaborato. ” Il ransomware potrebbe rientrare nella categoria “perdita di dati”.

Fortunatamente, gli attacchi di ransomware sono piuttosto evidenti e stanno diventando più facili da correggere, poiché gli strumenti di backup, le migliori pratiche e la tecnologia di sicurezza si sono sempre più concentrati su questa minaccia. Per la stragrande maggioranza degli MSP, gli attacchi ransomware sono probabilmente l’unico incidente di sicurezza che dovranno affrontare. Gli ultimi numeri suggeriscono che il 91% degli attacchi informatici e le risultanti violazioni dei dati iniziano con un attacco di posta elettronica di phishing e, di questi attacchi, il 93% è costituito da payload di ransomware. ,

Per quasi tutti gli altri incidenti di sicurezza, sarà probabilmente necessario esaminare il tipo di violazione dei dati e il tipo di contatti che potrebbero esserci stati tra i criminali informatici. Ciò può includere la determinazione della natura della violazione dei dati o l’identificazione di quali dati sono stati rubati, manomessi o distrutti permanentemente. Potrebbe anche essere necessario determinare se i criminali informatici hanno contattato il cliente o i suoi clienti. In tal caso, potresti avere a che fare con una questione di applicazione della legge, in quanto è possibile che venga fatto un tentativo di estorsione o di ricatto contro il tuo cliente.

Tipi di incidenti di sicurezza

Un errore di sicurezza che porta a una violazione dei dati (diverso dal ransomware, che è ovviamente un problema di disponibilità dei dati) può essere generalmente assegnato in una delle tre seguenti categorie:

  • Divulgazione non autorizzata delle informazioni personali dell’interessato
  • Manomissione o alterazione dei dati personali dell’interessato da parte di una parte non autorizzata
  • Negazione dell’accesso ai dati personali dell’interessato

Pertanto, se i criminali informatici “Bothan” rubano i piani alla “Morte Nera” della tua azienda e i registri del personale imperiale o i registri dei clienti imperiali non fossero inclusi o influenzati in alcun modo, la buona notizia è che il GDPR potrebbe non essere pertinente, anche se i piani della “Morte Nera” erano il lavoro della tua azienda.

Se ritieni che i dati personali degli interessati siano stati potenzialmente influenzati dalla violazione dei dati, dovrai determinare il livello di danno e le conseguenze della violazione. La guida GDPR di SolarWinds MSP può aiutarti a orientarti nella giusta direzione per comprendere la gravità della situazione e il potenziale impatto dei dati rubati.

Successivamente, è tempo di aiutare il cliente a determinare quale linea di condotta intraprendere. Potrebbe essere necessario apportare modifiche a processi, procedure e tecnologia e potrebbe essere necessario contattare i clienti che sono stati interessati, se necessario. Una volta noto che sono stati coinvolti dati personali, è meglio essere estremamente meticolosi nella documentazione e nell’azione. Potrebbe essere necessario che l’Autorità di vigilanza della propria area venga informata della violazione, pertanto è consigliabile disporre della documentazione di tutti i propri sforzi in buona fede.

Cosa aspettarsi durante un incidente con violazione dei dati

In qualità di MSP – e possibilmente primo soccorritore di una situazione di violazione dei dati – tutto il lavoro svolto verrà esaminato attentamente. Ma se stai al fianco del tuo cliente documentando ed eseguendo la dovuta diligenza, è improbabile che la notifica di violazione di 72 ore provochi un evento di estinzione per il tuo cliente.

E’ molto importante poter controllare il processo di gestione di un Data Breach per qualsiasi MSP, piuttosto che subirlo con tutte le conseguenze negative del caso.

N4B SRL ti invita a conoscere il tool di gestione Data Breach di Privacylab per poter offrire un servizio adeguato ed efficiente ai propri clienti. Contattaci per saperne di più.

FONTE: Solarwinds MSP BLOG

Bibliografia:

1. “Gli astronomi si esercitano in risposta a un asteroide assassino”, Universo oggi. https://www.universetoday.com/137789/astronomers-practice-responding-killer-asteroid/ (consultato a novembre 2017).

2. “Notifica di violazione dei dati ai sensi del GDPR: problemi da considerare”, Browne Jacobson LLP. https://www.brownejacobson.com/training-and-resources/resources/legal-updates/2016/03/data-breach-notification-under-the-gdpr-issues-to-consider (accesso novembre 2017).

3. “Art. 33 GDPR: Notifica di una violazione dei dati personali all’autorità di controllo ”, Intersoft Consulting. https://gdpr-info.eu/art-33-gdpr/ (consultato a novembre 2017).

4. “Studio del costo della violazione dei dati del Ponemon Institute 2016”, IBM e Ponemon Institute. https://www.ibm.com/security/data-breach/index.html (consultato a novembre 2017).

5. “Il divario nella detenzione della violazione dei dati e le strategie per colmarlo”, Infocyte. https://www.infocyte.com/breach-detection-gap-conf (consultato a novembre 2017).

6. “Articolo 4: Definizioni GDPR dell’UE”, SecureDataService. https://www.privacy-regulation.eu/en/4.htm (consultato a novembre 2017).

7. “Rapporto sulla suscettibilità e sulla resilienza del phishing aziendale”, PhishMe. https://phishme.com/enterprise-phishing-susceptibility-report (consultato a novembre 2017).

8. “Rapporto sui malware Q1 2016”, PhishMe. https://phishme.com/project/phishme-q1-2016-malware-review/ (consultato a novembre 2017).

 

Questo documento è fornito a solo scopo informativo e non deve essere considerato come una consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE può essere applicato a te e alla tua organizzazione. Ti invitiamo a lavorare con un professionista legalmente qualificato per discutere del GDPR, di come si applica alla tua organizzazione e del modo migliore per garantire la conformità. SolarWinds MSP non rilascia alcuna garanzia, espressa o implicita, né si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di tali informazioni. 

Read More

Guida rapida alle strategie GDPR – Strategia Quick Win 4: le tecnologie di difesa dell’endpoint

Eccoci arrivati al blog finale sulle Guida rapida alle Strategie GDPR. Leggi i blog precedenti per conoscere le altre strategie illustrate finora:

Blog 1 – Fornire formazione sulla sicurezza ai dipendenti dei clienti

Blog 2 – Protezione della posta e whitelisting delle applicazioni

Blog 3 – Gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’hard disk…

In questo ultimo blog tratteremo delle tecnologie di difesa dell’endpoint “Easy Four “:

  1. Protezione della posta
  2. Protezione della rete
  3. Antivirus
  4. End point Detection & Defense (EDR)

Quando si tratta di combattere le minacce informatiche e proteggere i dati personali, queste quattro tecnologie possono costituire una parte importante della strategia di difesa. Tuttavia, è importante rendersi conto che le soluzioni “Easy Four” non possono essere autonome, ma devono essere adottate in sinergia se si desidera evitare multe ai sensi del Regolamento generale sulla protezione dei dati (GDPR). Perché in definitiva, il GDPR riguarda i diritti di privacy dei dati personali dell’utente e la protezione di tali diritti. Mentre la difesa dell’endpoint svolge un ruolo fondamentale, è importante tenere presente che esistono molte parti della protezione dei dati come definito nel GDPR.

Prima di iniziare …

La cosa grandiosa di queste tecnologie è che sono facili da implementare e semplici da gestire da uno strumento RMM. Ogni MSP ha la sua suite di strumenti preferita, alcuni costosi e altri no. Alcuni hanno un alto tasso di successo e altri no. Riunisci due MSP e vedrai un dibattito appassionato su quale prodotto funziona meglio.

Sfortunatamente, le tecnologie “easy four” non funzionano bene contro i criminali informatici senza altre componenti fondamentali. È simile a costruire una casa su una base traballante: sappiamo tutti cosa succede alla casa nel tempo.

Una parola sull’uso delle risorse di sistema

Affrontare il problema all’endpoint senza utilizzare gli strumenti e le tecniche menzionati nei precedenti articoli di strategia sulle strategi vincenti richiede generalmente più soluzioni basate su agenti endpoint. Queste soluzioni endpoint, spesso costruite per organizzazioni più grandi, possono includere un componente di prevenzione della perdita di dati (DLP), gestione dei privilegi, un firewall supplementare (o la sostituzione del firewall di Windows ® interamente) o un componente VPN: l’elenco continua. Quando si aggiunge la protezione antivirus e Web all’endpoint stesso, le risorse di quel computer verranno ridotte. Potresti persino ricevere alcuni reclami dagli utenti che odiano aspettare che tutte queste “cose ​​di sicurezza” si accendano. Inoltre, se un endpoint è carente di risorse, il software di sicurezza può smettere di funzionare.

Se l’apparecchiatura è vecchia e utilizza CPU più lente o dischi rigidi non SSD, il sistema potrebbe essere estremamente lento. Quando l’endpoint ha anche applicazioni ricche di risorse o applicazioni client-server, è probabile che l’utente riceva i reclami degli utenti in merito alle prestazioni.

Pertanto, la prima regola del club di protezione degli endpoint è testare la protezione degli endpoint prima di implementarla in massa. E tieni presente che, come minimo, i server meritano le stesse protezioni endpoint delle workstation. Se qualcosa supera le difese di una workstation, è probabile che il server lo rilevi. Non correre rischi qui.

Cosa forniscono le difese “Easy Four”

1. Protezione della posta

“Uccidilo prima ancora che entri all’interno dell’organizzazione.”

Questa è l’idea centrale alla base di un prodotto di protezione della posta locale o basato su cloud. La protezione della posta riduce lo spam, mette in quarantena le e-mail con allegati sospetti e persino combatte i tentativi di phishing. Alcuni prodotti per la protezione della posta utilizzano più motori antivirus attivi per proteggere la rete, mentre altri conducono analisi sandbox per verificare se eventuali allegati causano problemi.

La protezione della posta può essere utile in due scenari.

  1. In primo luogo, la protezione della posta aiuta a impedire all’email dannosa di entrare nell’organizzazione.
  2. In secondo luogo, la protezione della posta aiuta anche quando spam o e-mail dannose escono dall’organizzazione. Non è raro che i criminali informatici dirottino le caselle di posta come un modo per inviare spam o falsificare le informazioni dei mittenti per una truffa di phishing.

2. Protezione della rete

“Uccidere la connessione di rete o prevenire l’infezione in primo luogo.”

La protezione Web può essere ottima per tenere gli utenti fuori dai siti che potrebbero potenzialmente infettare i loro computer. Ma fa molto di più. Le protezioni del proxy Web e del livello di rete possono essere utilizzate come tecnologia preventiva di ultima generazione per cercare di eliminare i tentativi di un trojan di contattare un’infrastruttura di comando e controllo (C2) per scaricare un payload dannoso. Con l’accesso dei cybercriminali al DNS a flusso rapido, all’algoritmo di generazione del dominio (DGA) e persino ai server Dark Web, le protezioni a livello di rete sono davvero all’ultimo passo, ma sono comunque utili. Certamente, se l’analisi del traffico mostra comunicazioni verso siti potenzialmente dannosi, questo potrebbe essere un buon indicatore di compromesso. Le protezioni a livello di rete aiutano a identificare la presenza di qualcosa di brutto se la protezione e-mail e l’antivirus lo mancavano.

Non è un segreto che parti del Web siano assolutamente piene di malware. Siti di contenuti rubati (film e programmi TV famosi) e materiale per adulti sono entrambi estremamente pericolosi anche per gli endpoint più protetti da visitare. La protezione Web impedisce agli utenti di accedere a tali siti per prevenire malware (nonché problemi relativi alle risorse umane).

3. Antivirus Gestito – MAV

“Uccidilo prima che infetti la workstation.”

Questo è il ruolo centrale del tuo prodotto antivirus, qualunque sia il prodotto che scegli. Se i criminali informatici attaccano utilizzando un exploit di un programma software installato, un allegato che richiama PowerShell ® , JavaScript ® o una macro di Visual Basic o se viene visualizzato un file binario senza segno e tenta immediatamente di dirottare un processo e stabilire una connessione a Internet, il tuo antivirus dovrebbe rilevare il problema e tentare di risolverlo. Cerca un programma antivirus che includa la scansione basata su firma, il rilevamento euristico e l’analisi comportamentale per ottenere la massima protezione.

L’antivirus gestito è “un’opzione software gestita a livello centrale che protegge tutti i computer dell’azienda dalle minacce dei virus”. Con i MAV, gli MSP gestiscono gli aggiornamenti automatici del programma e gli aggiornamenti delle definizioni dei virus, quindi l’intervento dell’utente non è necessario. Quando viene scoperto un virus o un malware, viene immediatamente messo in quarantena. È una prima linea di difesa semplice e diretta per i dipendenti: non richiede alcuna conoscenza tecnica e fa un buon lavoro nel respingere molte minacce.

4. La soluzione End point detection – EDR

“Uccidilo prima che infetti gli altri devices e l’intera rete”

EDR è una soluzione poliedrica che fa tutto ciò che MAV può fare, ma fa un ulteriore passo avanti, fornendo maggiore sicurezza e (soprattutto) tranquillità. Le funzionalità includono, ma non sono limitate a:

  • Monitoraggio
  • Rilevazione delle minacce
  • Whitelisting / Blacklisting
  • Risposta alle minacce
  • Integrazione con altre soluzioni di sicurezza informatica

EDR è incentrato sulla protezione degli endpoint .

Come l’Antivirus, gli MSP lo gestiscono senza richiedere alcun input da parte dell’utente finale. Dato il numero di minacce che si generano quotidianamente, la gestione di un gran numero di endpoint può essere più difficile con antivirus e altre soluzioni puntuali. Questo è il punto in cui le differenze tra MAV ed EDR vengono messe a fuoco.

EDR è proattivo . Composto da software di monitoraggio e agenti endpoint, machine learning integrato e intelligenza artificiale avanzata (AI) consente a EDR di identificare i vettori di minacce che mostrano comportamenti sospetti e di affrontarli prima che vengano riconosciuti dannosi. Invece di fare affidamento sugli aggiornamenti delle definizioni, cerca comportamenti anomali. Ad esempio, se diversi file cambiano contemporaneamente, è probabilmente dovuto a un attacco endpoint.

Se si utilizza SolarWinds®Endpoint Detection and Response (EDR), l’elaborazione viene eseguita localmente sull’endpoint, a differenza di altri fornitori EDR che richiedono una risorsa e caricamenti intensivi nel cloud per l’analisi e l’elaborazione delle minacce. Puoi recuperare rapidamente, in modo automatizzato.

Le difese dell’endpoint sono indispensabili

La maggior parte dei framework di conformità richiede difese endpoint. Ma dati i pericoli e le capacità dei criminali informatici, i “tre facili” necessitano di rinforzi e devono basarsi su solide basi per massimizzare la protezione degli endpoint e dei dati.

L’ultima parola: non lesinare le difese degli endpoint, ma non dimenticare di utilizzare anche altre tecnologie di base per garantire la protezione dei dati a tutti i livelli.

Questo documento è fornito a solo scopo informativo e non deve essere considerato come una consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE può essere applicato a te e alla tua organizzazione. Ti invitiamo a lavorare con un professionista legalmente qualificato per discutere del GDPR, di come si applica alla tua organizzazione e del modo migliore per garantire la conformità. SolarWinds MSP non rilascia alcuna garanzia, espressa o implicita, né si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di tali informazioni.

 

 

FONTE: Solarwinds MSP BLOG

Traduzione – N4B SRL Distributore Autorizzato Solarwinds MSP

Read More

Guida rapida alle strategie GDPR – Strategia Quick-Win 3: gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’hard disk..

Sebbene il Regolamento generale sulla protezione dei dati (GDPR) non sia esplicito su tutte le azioni che devi intraprendere per proteggere i dati dei clienti, seguendo il principio dell’accountability ci sono alcune tecnologie di base che dovresti mettere in atto. Nelle parti uno e due di questa serie, abbiamo coperto la sicurezza delle applicazioni, la protezione della posta e la whitelisting delle applicazioni. Questo blog affronta ulteriori strategie vincenti tra cui la gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’intero disco.

Gestione delle Patch più veloce

Rimanere aggiornati con le patch è fondamentale per aiutare a prevenire la violazione dei dati. In particolare, i passati attacchi ransomware WannaCry e NotPetya hanno dimostrato le gravi conseguenze della mancanza di patch critiche, poiché erano disponibili correzioni per entrambi prima degli attacchi. Più recentemente, i criminali informatici hanno sfruttato una vulnerabilità pubblicata in Apache ® Struts entro un paio di giorni dalla divulgazione al pubblico.

Abbiamo visto le conseguenze che possono verificarsi quando le organizzazioni non riescono ad applicare rapidamente le patch di sicurezza, in particolare quelle che riparano le vulnerabilità sotto sfruttamento attivo. Un paio di rapporti illustrano in modo esauriente l’entità del problema:

NopSec ® , una società di previsione e correzione delle minacce alla sicurezza informatica, ha pubblicato un rapporto intitolato “State of Vulnerability Risk Management”. Ha compilato 20 anni di dati, disegnando un quadro triste dello stato della gestione delle vulnerabilità delle imprese:

Il tempo medio necessario per correggere una vulnerabilità della sicurezza è di 103 giorni. Tuttavia, questo varia a seconda del settore; mentre i fornitori di servizi cloud rispondono più velocemente (50 giorni), seguiti da vicino dalle organizzazioni sanitarie (97 giorni), le società di servizi finanziari e le organizzazioni educative impiegano 176 giorni preoccupanti per intraprendere azioni correttive. 1

Inoltre, Qualys Inc., fornitore leader di soluzioni cloud per la sicurezza e la conformità delle informazioni per le piccole e medie imprese, così come le grandi aziende, ha sponsorizzato un documento di ricerca che suggerisce che un’efficace sicurezza informatica richiede la correzione di tutte le “vulnerabilità critiche in un giorno, perché il rischio raggiunge livelli moderati nel segno di una settimana e diventa elevato quando una vulnerabilità rimane in un sistema critico per un mese o più. Tra gli intervistati, il 10% ha dichiarato di essere in grado di rimediare alle vulnerabilità critiche in 24 ore o meno “. 2

Ad essere onesti, un ciclo di patch di un giorno è piuttosto ambizioso, anche per  l’MSP più ossessionato dalla sicurezza. Tuttavia, se si considera che la vulnerabilità in Apache Struts è stata individuata entro 96 ore dalla scoperta, gli MSP potrebbero anche aver bisogno di compiere questo sforzo estremo per scacciare i criminali informatici, in particolare se l’ambiente è complesso. Fortunatamente, nella maggior parte dei casi, con ambienti non complessi, il patching settimanale automatizzato può aiutare a tenere a bada la maggior parte degli exploit informatici.

Blocca i privilegi di amministratore

Il “gestito” nel fornitore di servizi gestiti significa che sei responsabile dei sistemi dei tuoi clienti. Tuttavia gli MSP a volte rinunciano a questa responsabilità fornendo privilegi di amministratore ai dipendenti dei loro clienti, mettendo a rischio l’attività.

I dati di un rapporto di ricerca di Avecto ® , un’organizzazione di gestione dei privilegi specializzata in software di sicurezza degli endpoint, hanno dimostrato il valore di sicurezza della limitazione dei privilegi di amministrazione a livello locale e di dominio. Se la tua attività MSP non revoca i privilegi di amministratore dagli utenti, crei un potenziale problema di sicurezza.

Cosa offre il blocco dei privilegi di amministratore? Può proteggere dalle truffe del supporto tecnico, poiché gli utenti non saranno in grado di modificare i propri sistemi per consentire l’accesso ai programmi di falsi team di supporto tecnico sui loro computer. Inoltre, gli utenti spesso usano inconsapevolmente software gratuito per uso personale, ma che richiedono una licenza per uso aziendale. Il controllo dell’accesso dell’amministratore impedisce agli utenti di installare software con licenza impropria che potrebbe comportare multe durante un controllo del software.

Proteggi i tuoi dispositivi mobili con la crittografia

Kensington ® , leader negli accessori per desktop e dispositivi mobili, nell’ormai lontano 2017 affermava che i costi reali associati alla perdita o al furto di dispositivi mobili (laptop, tablet e smartphone) superavano i $ 49.000 per dispositivo3.  Chiaramente, i costi hanno poco a che fare con l’hardware e il software sul dispositivo. Ci sono costi associati alla sostituzione del dispositivo e alla perdita di produttività, ma i dati persi possono causare multe elevate per la violazione delle norme GDPR.

Nell’aprile del 2017, CardioNet ® è stato severamente multato per un laptop rubato con 1.400 cartelle cliniche. Poiché questo dispositivo non disponeva della crittografia dell’intero disco, la conseguente violazione di HIPAA è costata all’azienda 2,5 milioni di dollari. 5 Questo è significativamente più del prezzo dell’hardware, del software e della perdita di produttività dei dipendenti.

È difficile immaginare perché le persone IT che si occupano di CardioNet non abbiano semplicemente attivato la crittografia dell’intero disco, già  inclusa nel sistema operativo. Se sei seriamente intenzionato a mitigare la perdita di dati sui dispositivi mobili dei tuoi clienti, dovresti distribuire la crittografia dell’intero disco al più presto possibile. Questa semplice pratica legata alla formazione dei dipendenti avrebbe potuto risparmiare a CardioNet una multa di $ 2,5 milioni.

Proteggi i dati dei tuoi clienti

Con l’entrata in vigore del  GDPR, le aziende devono fare di più per gestire, controllare e proteggere i propri dati. Applicando patch più rapidamente, controllando i privilegi amministrativi e attivando la crittografia dell’intero disco, gli MSP possono aiutare a ridurre il rischio di una violazione dei dati e multe pesanti.

FONTE: Solarwinds MSP BLOG

TRADUZIONE: N4B SRL Distributore Autorizzato Solarwinds MSP

1. “Le organizzazioni impiegano troppo tempo per correggere le vulnerabilità della sicurezza”, BetaNews.  https://betanews.com/2015/06/02/organizations-take-too-long-to-fix-security-vulnerabilities/ (accesso ottobre 2017).

2. “Sopraffatto dalle vulnerabilità della sicurezza? Ecco come stabilire le priorità ”, Qualys, Inc. https://blog.qualys.com/news/2017/01/17/overwhelmed-by-security-vulnerabilities-heres-how-to-prioritize (accesso a ottobre 2017).

3. “Sicurezza dei dispositivi mobili: statistiche sorprendenti sulla perdita e la violazione dei dati”, ChannelPro Network. http://www.channelpronetwork.com/article/mobile-device-security-startling-statistics-data-loss-and-data-breaches (accesso ottobre 2017).

4. “Il laptop rubato porta a $ 2,5 milioni di penalità per violazione della violazione HIPAA”, MSPmentor. http://mspmentor.net/mobile-device-management/stolen-laptop-leads-25-million-hipaa-breach-penalty (accesso ottobre 2017).

 

Questo documento è fornito a solo scopo informativo e non deve essere considerato come una consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE può essere applicato a te e alla tua organizzazione. Ti invitiamo a lavorare con un professionista legalmente qualificato per discutere del GDPR, di come si applica alla tua organizzazione e del modo migliore per garantire la conformità. SolarWinds MSP non rilascia alcuna garanzia, espressa o implicita, né si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di tali informazioni. 

 

Read More

Guida rapida alle strategie GDPR – Strategia Quick-Win 2: protezione della posta e whitelisting delle applicazioni

Le soluzioni antimalware non possono sostenere completamente l’onere della protezione dei clienti di un provider di servizi gestiti (MSP) dagli attacchi informatici. Gli esempi abbondano di soluzioni antivirus che vacillano quando si cerca di impedire un qualsiasi tipo di minaccia informatica. I criminali informatici sono diventati molto più bravi a far passare il malware oltre le difese al punto che molti MSP devono ora svolgere attività di pulizia per i loro clienti, come il ripristino dei dati e la ricostruzione degli endpoint.

In effetti, un recente studio di MSP di SolarWinds ha rilevato che “l’87% dei dirigenti IT considera robusta la propria sicurezza informatica, nonostante il 71% abbia segnalato almeno una violazione negli ultimi 12 mesi”. 1 Tra la fiducia eccessiva dei dirigenti IT nelle loro difese e le prove tangibili di quelle difese che spesso falliscono, le organizzazioni dovrebbero costantemente cercare altri modi per garantire la sicurezza in modo più efficace.

Con il GDPR, in caso di violazione potrebbe essere necessario segnalare un attacco ransomware o una violazione dei dati ai sensi del GDPR e la mancata segnalazione può comportare azioni di vigilanza sotto forma di multe e sanzioni, cosa che renderà infelici i clienti di MSP. Oggi è molto importante che gli MSP utilizzino soluzioni aggiuntive che possano aiutare a difendere i propri clienti da incidenti di sicurezza.

Protezione e filtro della posta

Secondo il Riepilogo esecutivo del Threat Landscape Survey , i principali autori di incidenti di sicurezza sono gli utenti finali, in particolare quando utilizzano e-mail o visitano siti Web. 2

Ciò rende assolutamente necessario un investimento in una soluzione di filtraggio e protezione della posta per affrontare la stragrande maggioranza dei casi di “aggressori che entrano in endpoint”. Questa tecnologia preventiva tenta di bloccare il malware inviato via e-mail. Queste soluzioni spesso includono funzionalità quali motori antivirus, protezione antispam, blacklist dei domini, gestione degli allegati e altro, per aiutare a prevenire la diffusione di minacce e-mail. Naturalmente, le soluzioni di filtraggio e protezione della posta non sono a prova di proiettile, in particolare contro malware ben mirati e furtivi, quindi è importante utilizzarli nel contesto di una strategia di sicurezza a più livelli, a tutto tondo.

White List delle applicazioni

Anche se stiamo discutendo di sicurezza nel contesto di una legge dell’UE, gli MSP potrebbero voler prendere spunto dalle raccomandazioni delle autorità australiane per sostenere le proprie difese contro gli attacchi informatici e ottenere una solida prontezza al GDPR per i loro clienti. Ad esempio, il Dipartimento della Difesa australiano elenca quattro importanti strategie di mitigazione della criminalità informatica. Il loro sito web afferma: “L’Australian Signals Directorate (ASD) valuta che l’implementazione della Top 4 mitigherà almeno l’85% delle tecniche di intrusione a cui l’Australian Cyber ​​Security Centre risponde.”

La tecnica di mitigazione numero uno suggerita dall’ASD è “Whitelisting delle applicazioni”, che si riferisce a un programma che impedisce agli utenti (o attori malintenzionati) di installare software che non è incluso in un elenco di software approvato. Gli strumenti di whitelisting delle applicazioni sono stati inclusi da Microsoft ® in Windows ® da Windows Server ® 2008 e Windows 7. Gli MSP che non sfruttano questa tecnologia perdono una grande opportunità per fornire gratuitamente un altro livello di sicurezza ai client. AppLocker ® , lo strumento di whitelisting fornito da Microsoft, include anche una “Creazione guidata delle regole” per facilitare la distribuzione.

La whitelisting delle applicazioni, che si tratti di Microsoft AppLocker o di un programma di terze parti, può aiutare a impedire l’esecuzione di un programma Trojan o di payload ransomware sull’endpoint. Invece di fare affidamento su definizioni di virus (nel senso tradizionale), euristiche o regole basate sul comportamento, il programma di whitelisting impedirà l’esecuzione di qualsiasi programma non autorizzato. Ciò aggiunge un’ulteriore ed estremamente efficace difesa nella lotta contro gli attacchi di malware.

Potrebbe essere necessario dedicare un po ‘di tempo alla sperimentazione per ottenere il massimo da uno strumento gratuito come AppLocker. I periodi migliori per implementare questo strumento di sicurezza sono durante l’onboarding, gli aggiornamenti degli endpoint, un progetto di aggiornamento degli endpoint o un aggiornamento di Windows 10 a livello di ufficio. Indipendentemente da ciò, è uno strato di difesa estremamente importante ed efficace nella lotta contro i criminali informatici.

Due armi efficaci contro le violazioni dei dati

Con l’entrata in vigore da ormai 2 anni del GDPR , gli MSP hanno sempre maggiori responsabilità nel campo della sicurezza dei dati. La mancata protezione dei dati dei clienti potrebbe comportare multe elevate, sia per gli MSP che per i loro clienti. Sebbene non esista un’unica tecnologia a proiettile d’argento per la compliance del GDPR, la protezione della posta elettronica e la whitelisting delle applicazioni possono essere armi importanti per aiutare a contrastare la violazione dei dati.

FONTE. Solarwinds MSP BLOG

Traduzione N4B SRL Distributore Autorizzato Solarwinds MSP

1. “Il nuovo sondaggio sulla sicurezza MSP di SolarWinds evidenzia l’eccesso di fiducia, la mancanza di preparazione da parte di IT Execs per combattere il ransomware e altri attacchi”, MSP SolarWinds. https://www.solarwindsmsp.com/about-us/press/press-releases/new-solarwinds-msp-security-survey-highlights-overconfidence-lack (accesso a ottobre 2017).

2. “Le 4 principali strategie per mitigare le intrusioni informatiche: spiegazione dei requisiti obbligatori”, Dipartimento della Difesa del governo australiano. https://www.asd.gov.au/infosec/top-mitigations/top-4-strategies-explained.htm (consultato a ottobre 2017).

 

Questo documento è fornito a solo scopo informativo e non deve essere considerato come una consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE può essere applicato a te e alla tua organizzazione. Ti invitiamo a lavorare con un professionista legalmente qualificato per discutere del GDPR, di come si applica alla tua organizzazione e del modo migliore per garantire la conformità. SolarWinds MSP non rilascia alcuna garanzia, espressa o implicita, né si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di tali informazioni. 

Read More

Guida rapida alle strategie GDPR – Strategia Quick Win 1: fornire formazione sulla sicurezza ai dipendenti dei clienti

Benvenuti al primo di quattro appuntamenti dove daremo uno sguardo d’insieme ad alcune strategie che gli MSP devono implementare per accompagnare i propri clienti all acompliance GDPR.

Possiamo definirla una Guida rapida alle Strategie GDPR che ogni MSP dovrebbe avere ben presente. In questi quattro appuntamenti affronteremo i seguenti argomenti e le strategie per gestirli:

Blog 1 – Fornire formazione sulla sicurezza ai dipendenti dei clienti

Blog 2 – Protezione della posta e whitelisting delle applicazioni

Blog 3 – Gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’hard disk…

Blog 4 – le tecnologie di difesa dell’endpoint

Iniziamo dunque il nostro percorso:

I vantaggi della formazione sulla sicurezza dei dipendenti

I fornitori di servizi gestiti (MSP) sono un gruppo scettico. Poiché i fornitori e gli esperti di canale abbondano, molti MSP e fornitori di servizi IT tendono a mettere a punto i contenuti dai fornitori. Se hai intenzione di provare a vendere Servizi gestiti su un’idea, è meglio che questa sia orientata al valore. E devi arrivare al punto, in fretta.

Se qualcuno venisse nella tua attività e dicesse: “Posso aiutarti a ridurre le chiamate all’assistenza clienti, migliorare le relazioni con i clienti, rendere i tuoi clienti più sicuri e aiutarli ad avvicinarsi alla preparazione al GDPR, per pochi soldi”, la maggior parte degli MSP che conosco farebbe rispondere educatamente con “Ho un incontro in questo momento”. (E potrebbero anche non essere così educati.)

Ma per i tuoi clienti esiste una soluzione del genere: la formazione sulla consapevolezza della sicurezza dei dipendenti.

Sebbene non sia certamente un proiettile d’argento, è un modo economico per i tuoi clienti di migliorare la loro sicurezza. La formazione dei dipendenti può essere una parte cruciale della protezione delle imprese dei tuoi clienti dalle multe relative a violazioni del Regolamento generale sulla protezione dei dati (GDPR). Se il tuo bouquet di servizi non offre ai tuoi clienti un programma di formazione sulla sicurezza dei dipendenti, perdi una grande opportunità.

Perché la formazione sulla sicurezza dei dipendenti è così importante? Molto semplicemente, aiuta a prevenire incidenti di sicurezza informatica che potrebbero essere causati da errori dell’utente. La formazione dei loro dipendenti è un servizio essenziale da fornire ai clienti che ti pagano già per i servizi di sicurezza.

Se il tuo cliente cade vittima di un attacco informatico ad alta o bassa tecnologia, potrebbe non avere i fondi per pagarti o potrebbe contestare o mettere in discussione la tua competenza. Indipendentemente dalla causa dell’incidente, potrebbero incolpare alcuni dei tuoi servizi MSP. Tuttavia, se hai erogato un programma di formazione sulla sicurezza, questo può aiutare a mitigare la percezione che il problema si ripercuota esclusivamente sulle tue spalle. E, naturalmente, se i dipendenti praticano una buona sicurezza, la probabilità di un incidente di sicurezza informatica di successo si riduce.

Con l’entrata in vigore del GDPR, la formazione sulla sicurezza fornita potrebbe aiutarli a prevenire attacchi volti a rubare dati di informazioni personali (PII) (e potrebbe aiutarli a evitare situazioni in cui i criminali informatici tentano di ingannare i dipendenti in modo fraudolento trasferimento di denaro). La divulgazione non autorizzata di informazioni personali ai sensi del GDPR può comportare gravi sanzioni e pregiudicare la reputazione dell’azienda. In breve, un cliente con violazione dei dati è dannoso per l’azienda.

Quanto è importante la formazione sulla consapevolezza?

Quattro delle cinque maggiori perdite cybercriminali negli Stati Uniti sono state realizzate senza salire al livello di un “sofisticato” attacco cybercriminale. Ad esempio, compromissione della posta elettronica aziendale, truffe fraudolente e romantiche, truffe per mancato pagamento e mancata consegna e truffe sugli investimenti hanno causato perdite per oltre $ 840 milioni per le persone di età superiore ai 40 anni 1 .

La cosa triste di queste statistiche è che, in molti casi, non esiste una soluzione tecnica semplice: la formazione sulla consapevolezza della sicurezza degli utenti a volte potrebbe essere l’unica opzione. Ciò vale anche per le famigerate truffe del supporto tecnico, in cui qualcuno afferma fraudolentemente di appartenere a una società di supporto tecnico. IC3 riferisce che “IC3 ha ricevuto migliaia di denunce di frode relative al supporto tecnico. Le vittime hanno perso milioni di dollari per gli autori. Nel 2016, l’IC3 ha ricevuto 10.850 denunce di frodi nel supporto tecnico con perdite superiori a $ 7,8 milioni. ” 2

Quando un MSP offre formazione sulla sicurezza dei dipendenti per i propri clienti, aiuta a rafforzare il processo decisionale di sicurezza informatica di base. Se eseguita correttamente, questa formazione migliora la sicurezza dei dipendenti sia negli ambienti IT domestici che di lavoro, il che fornisce valore ai dipendenti dei clienti e al business.

E infine, è spesso richiesto dalla legge. Praticamente tutti i regimi di conformità includono un requisito per un programma di formazione e sensibilizzazione sulla sicurezza 3 .

Ciò include il GDPR, che richiede un’ampia gamma di misure per ridurre il rischio di violazione dei dati PII e richiede che il responsabile della protezione dei dati, “monitora la conformità … compreso l’assegnazione di responsabilità, la sensibilizzazione e la formazione del personale coinvolto in operazioni di elaborazione “. 4 Il GDPR richiede che gli addetti siano informati e formati.

In definitiva, fornire formazione sulla consapevolezza della sicurezza degli utenti offre un valore immenso ai tuoi clienti senza sovraccaricare il personale. Ridurrete il rischio di violazione dei dati aiutando nel contempo gli sforzi dei vostri clienti nel processo per raggiungere la compliance al GDPR.

 

Si noti che questo contenuto rappresenta un’opinione e che nulla in esso contenuto costituisce in alcun modo una consulenza legale. Ti consigliamo di parlare con esperti legali in materia per assicurarti di essere pronto per il GDPR e proteggere la tua azienda da eventuali multe. 

 

fonti:

1 “Rapporto sulla criminalità su Internet 2016”, Ufficio federale di indagine.  https://www.fbi.gov/news/stories/ic3-releases-2016-internet-crime-report (accesso ottobre 2017).

 Rapporto sul crimine su Internet 2016 ” , Centro federale per i reclami contro il crimine su Internet (IC3). https://pdf.ic3.gov/2016_IC3Report.pdf (consultato a ottobre 2017).

3 “Requisiti di conformità per la consapevolezza della sicurezza”, SANS. https://securingthehuman.sans.org/media/resources/business-justific/sans-compliance-requirements.pdf (consultato a ottobre 2017).

4 “Art. 39 GDPR, ”Regolamento generale sulla protezione dei dati (GDPR). https://www.privacy-regulation.eu/en/39.htm (consultato a ottobre 2017).

 

Read More

GDPR: Smart Working, Business Continuity e GDPR

La situazione pandemica ha portato moltissime aziende a lavorare in Smart Working. Di queste, quante lo hanno fatto in modo conforme al GDPR? Da quello che vedo non molte, ma per le aziende che hanno sposato il concetto di Business Continuity e che hanno attuato lo Smart Working in questi mesi di Coronavirus, ho la speranza che non sia cambiato assolutamente nulla nel loro impianto di gestione del GDPR.

Non è cambiato nulla – o almeno spero che sia così – perché avevano giustamente e correttamente ragionato sul discorso di Business Continuity.

Cosa vuol dire Business Continuity?

È la capacità dell’azienda, a prescindere da quello che succede, di continuare il proprio business.
È chiaro che se sono un’azienda che produce cuscinetti a sfera e piastrelle, hai voglia a fare cuscinetti a sfera e piastrelle in Smart Working – la Business Continuity nella produzione viene strutturata con la delocalizzazione – ma tutta la parte di vendita di servizi, di amministrazione, di Human Resources, di Marketing può essere tranquillamente gestita da remoto rispettando la Business Continuity.
Altrimenti come fai a garantire il servizio? Come fai a fatturare?
Che se non fatturi, chiudi!
Se un addetto ha un problema col computer, gli mandi un computer di ricambio, non puoi fermarti per una cosa del genere: questo è Business Continuity, ma non solo.

Perché, occhio che la continuità del business deve impattare non solo sulla parte tecnologica – cioè dare strumenti (device) agli addetti e stop! – ma anche sulla parte organizzativa e sulla parte di formazione. Perché se è solo tecnologica e le persone in Smart Working non hanno le istruzioni e gli strumenti per operare, questa cosa non funziona.

Estote parati! Sempre pronti!

Il concetto di Business Continuity è il concetto che gli Scout chiamano estote parati, che significa sempre pronti.
È il mantra che deve entrare nelle aziende e che non riguarda solo l’IT e gli aspetti tecnologici, ma è trasversale a tutta l’impresa.
È inutile che il responsabile IT deputato a scegliere gli strumenti a norma con il GDPR (clicca qui per approfondire)– non quelli gratis, ma a quelli a pagamento e conformi alla normativa – si giustifichi dicendo: “Noi siamo piccoli, siamo piccolini, siamo come Calimero. Abbiamo pochi soldi. Mi dicono sempre di no quando vado in amministrazione a chiedere delle cose.”
Perché la Business Continuity non deve partire dall’IT.
Deve partire dall’alto!

È un po’ una battaglia da Don Chisciotte, mi rendo conto, ma è l’azienda che applica la Business Continuity e che adotta misure tecniche, organizzative e di formazione per lavorare a norma anche quando arriva la pandemia di Coronavirus.

La Business Continuity e la realtà dei fatti

La realtà dei fatti è che c’è stata l’emergenza da Coronavirus e le aziende hanno fatto lo Smart Working alla cieca. Valutazione sul rischio per i dati? Zero.
La valutazione è stata: fare Smart Working con quello strumento costa poco o costa tanto?
Funziona o non funziona?
Se costa poco e funziona, bene, usiamolo che dobbiamo lavorare!
E allora, vedi quelli che attivano, agganciano, pubblicano on-line le riunioni, le mega riunioni, con l’accesso, senza accesso, viene registrato tutto…
Addirittura le farmacie usano WhatsApp per gli ordini dei clienti. Ma com’è possibile che mi fai l’ordine via WhatsApp? L’ordine con la medicina per il cuore, quello con il Viagra perché finalmente sono a casa con mia moglie e ne approfitto… tutto passa su WhatsApp!
Ma perché?
Perché non avevano pensato alla Business Continuity!
Non avevano lo strumento per la gestione degli ordini valutato e registrato.
Poi c’è stata l’emergenza e allora chiedono di mandare l’SMS o il WhatsApp…
Non si può! Non si può!
Adesso che però è passata l’emergenza, bisogna iniziare a ragionare su cosa c’è da fare e come mettersi a norma. Hai adottato lo Smart Working in emergenza? Bene. Adesso fermati e guarda cosa stai facendo, come lo stai facendo e mettiti a posto.
Come si fa?
FONTE: Privacylab BLOG – By Redazione
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More

Smart Working, lavoro AGILE e Coronavirus: gestire l’emergenza in regola col GDPR

Non ce lo aspettavamo, ma all’improvviso è arrivato. Il Coronavirus ha fatto piazza pulita di tutto. Ci sta facendo navigare a vista e ha trovato molte aziende, soprattutto le PMI, del tutto impreparate. Impreparate di fronte a cosa? Non solo all’emergenza, è chiaro. Le aziende si sono trovate a dover gestire una nuova modalità di lavoro – lo Smart Working e il lavoro AGILE – che senza il Covid-19 forse non avrebbero neanche mai considerato.
Quasi da un giorno all’altro, in seguito al Decreto del Governo che nei primi giorni di marzo ha esteso questa modalità a tutta l’Italia, i titolari d’azienda e le PA hanno chiesto ai dipendenti di lavorare da casa. E allora è successo di tutto: c’è chi, da un mese, lavora con il computer dei figli, chi ha dovuto chiedere in prestito il pc del vicino, chi aveva il computer ma non l’antivirus.
Insomma, tutti più o meno si sono dovuti barcamenare per portare avanti il lavoro con quello che avevano e purtroppo anche con buona pace dei dati personali e del GDPR.

Smart Working e rischi per i dati personali

Il Decreto del Governo non ha specificato nulla rispetto al trattamento dei dati personali e il Garante non ha ancora chiarito come gestire lo Smart Working durante la pandemia di Coronavirus, anche se si è già espresso il 2 marzo indicando ai datori di lavoro cosa NON devono fare. In questo contesto, i titolari del trattamento – aziende, professionisti ed enti – si sono trovati in a dover rivedere in tutta fretta l’organizzazione e le modalità di lavoro, con seri rischi per i dati personali trattati.

Rischi che sono molti e anche diversi: dai collegamenti VPN non sicuri all’uso di computer e altri dispositivi del tutto privi di misure di sicurezza, facili prede di virus e malware; come pure le videoriprese, le video-lezioni e le riunioni online, che possono presentare dei rischi per la privacy nostra e dei nostri familiari. Milioni di talloni d’Achille che possono aprire il fianco ad altrettante violazioni dei dati personali.

Come gestire questa situazione in modo conforme al GDPR?

Il 16 aprile abbiamo organizzato un corso per parlare proprio di questo.

Non c’eri? Nessun problema.
Nei prossimi paragrafi trovi punto per punto quello che è stato detto durante il webinar su come gestire lo Smart Working cum grano salis e a norma di legge.

Smart Working: come farlo a norma GDPR

Vediamo cosa bisogna fare per essere a norma GDPR quando si fa Smart Working:

1 – Analizza e mappa i trattamenti

La prima cosa che viene richiesta dal GDPR è analizzare e mappare. Quindi devi capire quali trattamenti stai facendo, perché li stai facendo, quali dati ci sono e da chi vengono visti all’interno dell’azienda. Dopodiché, guardi quali strumenti usi o vuoi usare, come vengono usati, se ci sono delle misure di sicurezza e quali istruzioni vuoi dare agli addetti che dovranno gestirli.
Mappare i trattamenti vuol dire avere la mente aperta: saper fare le connessioni e valutare che un certo trattamento o un certo strumento ne fa scaturire un altro.
Per esempio, nel momento in cui attivi la VPN per far collegare i dipendenti da casa, hai sicuramente il login utente, che è un trattamento aggiuntivo.
E nel momento in cui fai accedere le persone da casa alla posta elettronica dell’ufficio, se non dai regole precise, loro si scaricano i file di Word e di Excel e ci lavorano col computer che hanno – magari quello del figlio e senza antivirus -, col rischio di beccarsi il Cryptolocker.
Sono tutti asset nuovi che devono essere gestiti, modalità nuove che devono essere gestite.
Non si può più far finta di niente. Perché con una gestione sempre più distribuita, quello che avresti dovuto fare prima, adesso diventa impellente e cioè adesso devi analizzare quali dati tratti, da quali strumenti vengono utilizzati e quali asset li vanno a utilizzare. Devi avere la mappatura di questa cosa. È diventato fondamentale. Senza mappatura non hai consapevolezza, senza consapevolezza non lavori con accountability.
Perché per agire con accountability bisogna essere consapevoli, responsabili e competenti.
Se non sai dove sono i dati e se non sai quali dati tratti come puoi essere accountable?
E i dati non sono solo quelli del gestionale. Sono anche tutti i dati dello Human Resources, sono i dati della produzione, sono tutti dati del Marketing, delle vendite, dei clienti. Sono dati personali che girano su degli asset che devono essere mappati.
La mappatura dei trattamenti scatena altri trattamenti. Dalla mappatura vedi che ci sono altri strumenti e quindi anche altri responsabili esterni. È una catena che devi avere chiara.
Partiamo quindi dagli asset, cioè dagli strumenti.

2 – Definisci quali asset stai usando, fai l’analisi dei rischi e stabilisci delle regole chiare su come usare gli strumenti

Gli asset fisici, cioè gli strumenti, sono di due tipi:
1) quelli di proprietà aziendale cioè gli asset comprati o affittati e i servizi
2) poi ci sono gli asset di proprietà del dipendente, cioè i BYOD (Bring Your Own Device) – che sembra un po’ il nome di una pornostar norvegese – e qui bisogna chiarire una cosa. Se io azienda ho deciso che do la possibilità ai miei dipendenti di utilizzare strumenti proprietari – lo posso fare? Certo che sì! – prima però devo fare delle attività legate al GDPR.
Quali sono le attività che vanno fatte se uso i BYOD?
Primo. Io azienda rimango controller dell’informazione, cioè rimango titolare del trattamento. Non è che se il dipendente usa il suo device diventa titolare del trattamento e sono pippe sue. Rimangono dell’azienda le pippe!
No, te lo dico. Che sia chiara questa cosa!
Secondo. Io azienda dico ai miei dipendenti: “Ti concedo di fare questo ma ti do queste regole, per poter usare il tuo device.” I dipendenti che lavorano in Smart Working devono avere delle regole che in maniera molto chiara dicano che va fatto il backup, il salvataggio, la gestione della sicurezza… altrimenti, se non dai delle regole, stai improvvisando.
Le regole devono essere chiare e soprattutto devo mettere in piedi una serie di automatismi legati alla prevenzione obbligatoria che ho dei dati.
Cioè, se il dipendente usa il suo device, io azienda devo dargli accesso a degli strumenti che prima ho verificato e certificato. Se usasse dei device aziendali, controllati e verificati facendo l’analisi dei rischi e poi censiti, sarebbe un conto. Ma come faccio a verificare gli strumenti dei miei dipendenti?
Verifico il player, cioè lo strumento che gli ho dato. Non vado a verificare se le linee della Telecom o di Fastweb che usa per connettersi sono buone oppure no. Verifico che il fornitore che viaggia sopra le linee Fastweb sia adeguato.
Terzo. Poi devo dare l’informativa ai dipendenti dicendo loro che una serie di informazioni verranno tracciate. Altrimenti come posso tenere un rischio residuale basso su quei trattamenti?
Posso anche non tracciare, ma poi non riesco a tenere il rischio residuale basso.
Ecco perché serve l’analisi dei rischi – che è obbligatoria! – perché devo verificare come le informazioni vengono gestite e archiviate.
Queste cose andrebbero fatte prima.
Non le hai fatte? Male. Però puoi sistemare a posteriori.

Non hai fatto le verifiche né dato le regole per l’uso degli strumenti. E adesso? Fai l’analisi dei rischi

Anche se la frittata è fatta, si può lavorare a posteriori e verificare se le scelte che hai preso erano corrette, facendo l’analisi dei rischi. 
L’analisi dei rischi infatti serve per valutare se le informazioni che hai dato e gli strumenti – anche quelli che non sono di tua proprietà – sono corretti e sono adeguati ai sensi dell’articolo 35 del GDPR (valutazione d’impatto), degli articoli 24 e 25 (privacy by design e by default) e dell’articolo 32 (misure di sicurezza fisiche, logiche e organizzative, che devono garantire un rischio residuale basso su tutti i trattamenti).
È importante, sai perché? Perché, per esempio, se la posta viene scaricata su un device e la segretaria dello Human Resources, che lavora in Smart Working, usa il computer del figlio che è infettato di Cryptolocker – un computer dove il figlio non ci ho mai messo un Word neanche a sbagliare – appena arriva lei e scarica la posta sul computer…vruuum! Il virus chiappa tutto, blocca tutto, blocca la casa e spara virus in giro!
È una cosa che può succedere e la domanda che ti potrebbero fare è: ma prima di dare l’accesso, avevi fatto una valutazione? Hai verificato se gli strumenti – i device – e la modalità di lavoro a casa fossero adeguati?
Amen, è successo. Adesso però devi inserire la cosa nel registro delle violazioni – in maniera sicura e non modificabile – poi se è un Data Breach o no lo vediamo dopo, ma intanto devi registrarlo.
Su quali misure di sicurezza devi fare l’analisi dei rischi?
Su tutte!

L’analisi va fatta su tutte le misure di sicurezza

L’articolo 32 del GDPR ci dice: bisogna verificare tutte le misure di sicurezza, anche quelle logiche e organizzative, non solo quelle fisiche. 

Hai dato le istruzioni a chi lavora in Smart Working?
Le persone sanno come si devono comportare?
Sai come accedono da remoto?
Hai fatto la verifica su cosa viene tracciato e su cosa viene verificato durante il lavoro esterno all’azienda?
Anche queste sono misure di sicurezza!
Attenzione! Se poi in azienda per fare lo Smart Working hai deciso di usare dei BYOD, devi sapere che stai usando device fuori dal tuo controllo. Quindi non è che puoi andare a dire al tuo dipendente: “Peppino, guarda che sul tuo telefonino non devi installare Snapchat e neanche Tik Tok.”
Perché giustamente Peppino ti risponde “Il telefono è mio e ci faccio quello che voglio. Se non vuoi che mi installi queste cose, dammene uno tu!”
Quindi se per fare lo Smart Working decidi di usare i dispositivi dei tuoi dipendenti devi gestire questa situazione e adottare delle misure di sicurezza che vanno valutate. Come si fa?
Vanno valutate così:
  • Prendi i trattamenti, i dati e le misure di sicurezza fisiche logiche e organizzative. Fai l’analisi dei rischi – che è obbligatoria ai sensi dell’articolo 32 – e guardi: il rischio residuale che viene fuori com’è?
  • Risposta: Medio-alto. Non va bene.
  • Torna da capo: o tiri via dei dati o aggiungi misure.
  • Rifai l’analisi: il rischio è basso.
  • Fantastico!
Adesso puoi procedere col trattamento e aggiornare il registro dei trattamenti.

3 – Aggiorna il registro dei trattamenti

Fatta la valutazione? Identificati gli asset (strumenti)? Hai visto che quello che stai facendo ha un rischio residuale basso? Benissimo.
A questo punto devi aggiornare il registro dei trattamenti.
E quindi ci devi indicare:
– tutti i trattamenti, eventualmente anche quelli nuovi
– tutti gli asset nuovi
– tutti i fornitori nuovi (responsabili esterni del trattamento)
– tutte le misure di sicurezza nuove.
Nel registro devi dare evidenza che hai ragionato sui nuovi trattamenti, che hai visto che certi asset e certe scelte ne hanno fatti scaturire altri. Devi dare evidenza di aver fatto una valutazione che quello strumento, quel servizio, quella modalità di erogazione, quelle istruzioni sono ok.
Questo è quello che deve andare sul registro perché, ai sensi dell’articolo 30, il registro deve essere una fotografia della situazione.
Quindi fai la foto, poi istruisci le persone.

4 – Nomina gli addetti e dai istruzioni

Dopo aver fatto la foto – cioè dopo aver riportato la situazione nel registro dei trattamenti – se ancora non lo avevi fatto, devi nominare gli addetti ai trattamenti e dare nuove istruzioni.
Quindi, a chi lavora da casa, se le istruzioni non le avevi ancora date, devi dare quelle aggiuntive, così sanno come devono comportarsi.
Se lavorano con strumenti che non necessitano di formazioni aggiuntive, ad esempio con i client remoti, non darai nessuna informazione aggiuntiva.
È una verifica che va fatta: in base agli strumenti che usi, devi verificare se è il caso di aggiornare le istruzioni oppure no. 
E poi devi dare l’informativa.

5 – Aggiorna e consegna l’informativa

Se in azienda non avete mail lavorato in Smart Working devi dare sicuramente una nuova informativa.
Non è sempre detto che serva, perché magari nella vecchia informativa queste cose c’erano già: dipende da cosa c’è scritto, da cosa facevi prima e da cosa fai adesso.
Al dipendente devi chiedere un consenso? No!
Bene. Detto questo, prima di concludere, facciamo una breve panoramica delle norme del GDPR che toccano lo Smart Working.

Lavoro da casa: cosa dice il GDPR?

La situazione pandemica ha obbligato moltissime aziende a lavorare in Smart Working. Bene.

Cosa ci dice il GDPR su questo? Vediamo gli articoli del Regolamento. Quelli che riguardano lo Smart Working sono:

  • Articoli 24 e 25 cioè privacy by design e by default
In sostanza questi articoli ci dicono: “Guarda, prima di fare qualsiasi trattamento, devi verificare se quello che vuoi fare o se quello che stai facendo rispecchiano la norma e quindi se hai adeguati strumenti, adeguata formazione, se hai dato un’adeguata istruzione agli addetti e se puoi produrre tutte le evidenze del caso.”
  • Articolo 32 sulle misure di sicurezza
Ci dice che, per ogni trattamento che facciamo, dobbiamo assicurarci di aver adottato tutte le adeguate misure di sicurezza e che il rischio residuale su quei trattamenti sia basso.
Quindi, dal momento che i dipendenti lavorano al di fuori dell’azienda con lo Smart Working, sicuramente bisogna verificare questa cosa!  È una verifica obbligatoria per tutte le aziende e per tutti i trattamenti, non c’è nessuna distinzione, a maggior ragione se parte dell’attività è svolta da casa. Ma quali misure di sicurezza bisogna verificare?
Tutte! Vanno verificate le misure fisiche, logiche e organizzative, non solo le misure di sicurezza tecnologiche. Tutta la filiera deve essere gestita e verificata: devo avere il controllo delle attività, delle persone e devo avere il controllo degli strumenti. Le misure di sicurezza infatti toccano tutto in maniera trasversale.
  • Articolo 28 sui responsabili esterni
Un altro articolo su cui dobbiamo ragionare è l’articolo 28 sui responsabili esterni del trattamento e che riguarda anche lo Smart Working perché tutte le volte che usiamo degli strumenti – delle strutture esterne alla nostra azienda – per archiviarci delle informazioni, per abilitare le conferenze, per organizzare meeting, per distribuire i documenti attraverso il Cloud, cioè tutte le volte che noi utilizziamo servizi esterni, secondo l’articolo 28, dobbiamo verificare che il fornitore esterno rispecchi certe caratteristiche, cioè che sia a norma GDPR.
  • Articolo 29 sulla formazione agli addetti
L’articolo 29 del GDPR ci dice: “Guarda, quando uno dei tuoi dipendenti subordinati o parasubordinati fa dei trattamenti – qualcuno sotto il tuo controllo diretto (persona fisica) – prima deve essere adeguatamente formato. Sappi infatti che tutte le persone fisiche che lavorano sui tuoi trattamenti, sui dati che tu prendi, devono essere istruite e formate.”
Quindi se hai chiesto ai tuoi dipendenti di lavorare in Smart Working, nel momento in cui usano nuovi strumenti e nuove metodologie, devi dare delle istruzioni perché le persone siano adeguatamente formate ai sensi dell’articolo 29.
  • Articolo 30 sul registro dei trattamenti
Lo Smart Working chiaramente inciderà sul registro dei trattamenti. Perché è quel documento che fotografa la situazione attuale e dà evidenza a chi deve controllare – ma in primis a te, titolare del trattamento – di come sei arrivato a scegliere certi trattamenti, certi strumenti e certi dati. Su questa base, in caso di visita ispettiva, puoi dire: “Guarda carissimo nucleo ispettivo della Guardia di Finanza, abbiamo scelto di usare Go to Meeting, l’abbiamo nominato responsabile esterno, abbiamo fatto la valutazione, l’abbiamo inserito come nuovo trattamento qui nel registro. Quindi abbiamo l’evidenza del percorso logico che ci ha portato a dire che lo strumento che abbiamo scelto è corretto e che Tizio, Caio, Sempronio e Peppino sono gli incaricati.”
  • Articolo 35 sulla valutazione d’impatto
L’articolo 35 ci dice: “Guarda che su alcuni trattamenti tu devi fare la valutazione di impatto. Quindi devi fare l’analisi dei rischi e valutare che impatto hanno.” L’analisi dei rischi e la DPIA (Data Privacy Impact Assessment) danno evidenza del percorso fatto.
  • Articoli 13 e 14 sull’informativa
Se fino a questo momento lo Smart Working non era stato fatto, sappi che va inserito nell’informativa e che quindi anche questa va aggiornata.

Bene. Questo è il quadro normativo da tenere bene a mente e da mettere in pratica quando si fa Smart Working in azienda.

FONTE Privacylab BLOG – by Andrea Chiozzi socio fondatore e CEO di PRIVACYLAB SRL
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.
Read More