Posts tagged "PrivacyLab GDPR"

Compliance GDPR – Cosa significa accountability?

Accountability: consapevoli, competenti e responsabili

Consapevolezza: sai quali dati personali tratti?

Il problema oggi è proprio questo: aziende, imprenditori, consulenti, professionisti non sono consapevoli.

Alla domanda: “Sai quali trattamenti fai?”

La risposta dell’imprenditore medio è: “Ma dai, i soliti, quelli obbligatori per legge.”

E io: “Ok, va benissimo, ma quali sono?”

E lui: “I soliti: buste paga, permessi… le solite cose…”

“Bene” gli dico “Hai un sito web?”

E lui: “Ma certo!”

“La Pagina Facebook?”

E lui: “Certamente”

“Ok, cosa ci fai con la Pagina Facebook?”

E scopro che ci fa le sporcaccionate più grosse!

Prende e clusterizza le informazioni, le mette nel cruscotto di Mailchimp dove automaticamente manda le mail a quelli che hanno visitato la sua Pagina Facebook e hanno messo mi piace a certe cose, fa Google ADS, usa le App…

E lo fanno tutti. Fanno sporcaccionate con i dati personali degli altri e non se ne rendono conto. Non sanno che quelli sono trattamenti.

Quindi la prima cosa da fare per essere consapevoli è formarsi e avere dei consulenti al proprio fianco che siano un aiuto. Non rivolgersi a dei gibboni che creano solo confusione e allarmismi, ma a professionisti capaci, che sappiano spiegare con chiarezza e che affianchino il titolare del trattamento e i responsabili nel processo di compliance GDPR, perché sappiano sempre dove si trovano i dati raccolti, di chi sono, come vengono utilizzati e perché.

Competenza: i trattamenti che stai facendo hanno un rischio residuale basso?

Il GDPR dice che bisogna fare trattamenti solo se il rischio residuale è basso. Quindi va fatta un’analisi dei rischi. E sull’analisi dei rischi ho visto di tutto.

Ho visto Associazioni di Categoria che, per mettere a norma le imprese, hanno mandato questionari in Excel con una lista di domande fenomenali, del tipo: dai una valutazione da 1 a 10 sulla capacità empatica dei capoufficio di riuscire a rispondere in maniera corretta alle tue domande. 

Ma perché? Che senso ha?! 

Perché l’artigiano, il panettiere, l’azienda con 3 dipendenti – occhio che il GDPR riguarda tutti, anche loro! – deve stare lì a diventare di gomma con una lista di 119 accadimenti per fare l’analisi dei rischi? Non è efficiente, non è razionale.

Le cose vanno fatte cum grano salis!

Invece, alle volte sembra davvero che la valutazione dei rischi sulla protezione dei dati sia qualcosa di incomprensibile, che si debba scomodare il CERN per calcolarli, mettendoci dentro di tutto: incendi, terremoti, l’invasione aliena, il meteorite… Ma l’incendio non è un rischio, è una sfiga, è un accadimento, per quanto riguarda la privacy; il terremoto e il meteorite che colpisce la Terra non sono rischi, sono accadimenti. I rischi per i dati personali sono pochi e facilmente identificabili.

I rischi per i dati personali sono 6

I rischi per i dati personali sono solo 6 e vanno valutati guardando al caso specifico, a quello che fa l’azienda e a come si muove:

• DISPONIBILITÀ 

1 – Distruzione accidentale o illegale

Esempio – Cancello l’unico file con l’anagrafica dei clienti persone fisiche della mia azienda e non posso più recuperarli

2 – Indisponibilità 

Esempio – L’azienda prende un Cryptolocker che blocca tutti i documenti e non permette l’accesso

3 – Perdita

Esempio – Viene rubato un portatile con all’interno una serie di documenti, o si rompe il disco del Computer e non sono più disponibili i file

• INTEGRITÀ 

4 – Alterazione

Esempio – Modifico per errore i dati personali di Giulia archiviati nell’anagrafica dipendenti

• RISERVATEZZA 

5 – Divulgazione 

Esempio – Pubblico sulla Pagina Facebook dell’azienda una foto di 3 dipendenti mentre si ubriacano alla festa di fine anno.

6 – Accesso

Esempio – Viene bucato il gestionale della banca. I dati di centinaia di migliaia di correntisti sono visibili agli hacker.

Quindi l’analisi dei rischi non si basa su lunghe check list complicate o su tabelle che attraverso formule matematiche compilate da un ingegnere termonucleare tentano di determinare se l’azienda è a rischio di incendio oppure no. Così è un costo. È una scelta inefficiente. L’analisi dei rischi è efficace quando il suo fine ultimo è determinare l’esistenza dei sei rischi indicati nel Regolamento e le contromisure prese per ridurli. Solo in questo modo l’analisi dei rischi sarà adeguata allo stile dell’azienda, alle sue modalità di lavoro e alla sua capacità di spesa e si rivelerà davvero utile per evitare sanzioni.

Le contromisure per ridurre il rischio

Quali contromisure adottare per ridurre il rischio? Non c’è niente di obbligatorio e qualche contromisura è solo consigliata, quindi possono essere diverse e di diversa natura, ed è il titolare del trattamento che deve decidere quali contromisure utilizzare.

Anche qui però ho visto di tutto, per esempio la Focus Station, una piccola piramide in alabastro che viene caricata di energia positiva a fronte dei tuoi trattamenti e ti garantisce un abbattimento del rischio. Ma stiamo scherzando? E questo è il caso eclatante, perché c’è anche chi ti dice che devi mettere gli estintori nuovi e che sono obbligatori per il GPDR. Ma dico. Perché devi dire una cosa del genere? Non funziona così.

Primo, le contromisure non sono solo quelle fisiche, ma sono anche organizzative, e in tutti i casi richiedono logica e buon senso. Secondo, il percorso per l’accountability non è fatto solo di strumenti, è fatto anche di persone e di comportamenti, di formazione agli addetti e ai responsabili.

Quindi in base ai dati che tratti, a come li tratti, perché li tratti, dovrai trovare le contromisure più adatte per avere un rischio residuale basso. Lascia perdere la Focus Station e gli estintori GDPR compliant!

Responsabilità: sai se i tuoi responsabili esterni sono compliant al GDPR?

Una delle novità più impattanti introdotte dal GDPR, oltre al privacy by design, è la nomina del responsabile del trattamento. Il Regolamento ci dice che dobbiamo nominare responsabili tutte le figure esterne che trattano i dati per conto nostro.

Come nominare i responsabili esterni? Con un atto di nomina o con apposite clausole all’interno di un contratto fra le parti, in ogni caso va fatto per iscritto. Bene, di fronte a questo si è scatenato l’inferno.

Tutti a nominare responsabili del trattamento a ruota libera e senza freni.

Aziende che ti dicono: “Tu tratti i dati miei? Tiè, ti nomino responsabile!”

E io: “Ok, bene. Fammi vedere la nomina.”

Guardo la nomina e c’è scritto: “Lei è responsabile del trattamento dei dati dei miei dipendenti.”

E io: “Di tutti i trattamenti?”

E l’azienda: “Sì, di tutti! Me l’ha scritta l’avvocato!”

E io: “No, io tratto nomi e cognomi per questa finalità. Stop. E su questo trattamento ti devo garantire il rischio residuale basso.”

Ma acciderbolina, io – come PrivacyLab – sarò responsabile solo di alcuni trattamenti. Non posso essere responsabile di tutti i trattamenti che riguardano i tuoi dipendenti. Lo studio paghe sarà responsabile per alcuni trattamenti, così come chi gestisce il software, chi ti segue per gli aspetti legali e così via.

Questo è il primo aspetto, poi come responsabile esterno devo dimostrare di essere GDPR compliant e infatti il Regolamento Europeo stabilisce anche che:

• il titolare del trattamento ha l’obbligo di verificare che il suo responsabile esterno sia compliant GDPR e quindi che si comporti in maniera adeguata, abbia adeguate contromisure, tratti i dati in modo che il rischio residuale sia basso;
• il titolare del trattamento deve avere sotto controllo costante la catena dei responsabili; quindi, per esempio, se affida dei dati allo studio paghe, perché faccia le paghe dei suoi dipendenti, deve sapere se lo studio paghe, a sua volta, affida una parte dei trattamenti ad un altro responsabile, che potrebbe essere chi gli ha fatto il software, chi gli gestisce il Cloud e così via. Questa catena deve essere chiara dall’inizio.

Per essere accountable deve essere certificata tutta la catena dei comportamenti e della compliance al GDPR.

Accountability significa anche fornire delle prove

Sei accountable? Bene, ma non basta dire che lo sei. Devi anche testimoniarlo, dare delle prove.

Devi riuscire a documentare che sei consapevole, competente e responsabile, riportare tutto quello che fai nel Registro dei trattamenti, quali contromisure hai adottato e perché.

Devi dimostrare di riuscire a governare il processo. Non sei un pilota in balìa delle onde. Sei un pilota che sa quello che fa e lo puoi dimostrare, perché hai preso la patente nautica, hai GPS e strumenti, hai partecipato a decine di regate. Non subisci, ma gestisci.

Inoltre, dimostrare la propria accountability è fondamentale anche nella gestione di un Data Breach.

Se c’è stata una violazione dei dati di tipo 2 – una violazione che può mettere a rischio i diritti e le libertà delle persone, e che quindi va notificata al Garante e agli interessati – e riesci a testimoniare che hai trattato i dati i dati a fronte di un privacy by design con rischio residuale basso, hai fatto la DPIA e hai messo in atto tutte le contromisure necessarie, sei più difendibile.

Perché le violazioni succedono e tu devi essere pronto a dimostrare di aver fatto tutto il possibile per minimizzare i rischi.

FONTE: BLOG PRIVACYLAB – DI ANDREA CHIOZZI

RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Fonte: Redazione Blog Privacylab – Febbraio 2020

I relatori del PrivacyLab Day 2020

Il 7 febbraio a Reggio Emilia, importanti relatori hanno delineato le dinamiche e le criticità che caratterizzano lo scenario attuale del Regolamento Generale sulla Protezione dei Dati.

Fiorenzo Bellelli, Amministratore Delegato Warrant Hub – Tinexta Group, ha aperto la serie degli interventi parlando di “GDPR tra difficoltà, reticenze ed opportunità”.

A seguire, Nicola Bernardi, Presidente dell’Associazione Federprivacy, ha tracciato il profilo delle figure professionali della data protection più richieste dal mercato, mentre Giuseppe Giuliano, Funzionario del Dipartimento Attività Ispettive del Garante per la protezione dei dati personali, si è soffermato sul tema delle attività ispettive al tempo del GDPR.

Infine, Umberto Rapetto, Generale della Guardia di Finanza in Riserva e già comandante del GAT Nucleo Speciale Frodi Telematiche, ha illustrato il quadro attuale della cyber-security in Italia anche alla luce dei suoi ruoli di Vice Presidente dell’Autorità Garante della Repubblica di San Marino, Docente universitario, giornalista e scrittore.

In questo contesto, Andrea Chiozzi, CEO di PrivacyLab, ha tracciato il quadro su come servizi e strumenti all’avanguardia possono portare a un mercato più maturo, grazie a una rete qualificata di consulenti e partner. Con l’occasione, Chiozzi ha presentato anche le novità di PrivacyLab in termini di servizi, strategie e formazione, nonché le nuove opportunità di sviluppo per il canale.

Guarda i video dell’evento:

Mattina  https://youtu.be/l40TwA9CJHA

Pomeriggio  https://youtu.be/_aSOpmtrZK0

Un anno di PrivacyLab  https://youtu.be/hDBt_qsDFCQ

Vuoi partecipare alla prossima edizione del PRIVACYLAB DAY?

L’importanza di scegliere il partner e gli strumenti adeguati per garantire alle Aziende e alla P.A. la sicurezza IT, la Business Continuity e la compliance al GDPR.

Contattaci per maggiori informazioni!

N4B SRL – commerciale@n4b.it – 0522-1607412

Distributore Solarwinds MSP – Legal Logger – Swascan – LeadBI & Partner Privacylab Academy 

Fonte: Redazione Blog Privacylab – Febbraio 2020

Vediamo di mettere tutti i punti in fila.

• l’origine razziale ed etnica di un individuo
• le sue convinzioni e adesioni religiose, politiche e filosofiche
• lo stato di salute e la vita sessuale

GDPR e dati sensibili: è cambiato qualcosa?

L’articolo 9 del GPDR ci dice che i dati particolari (ex-sensibili) non devono essere trattatati – salvo consenso esplicito dell’interessato o in caso di necessità per assolvere ad alcuni obblighi ben codificati – e ci dice anche quali sono:

• l’origine razziale o etnica 
• le opinioni politiche, le convinzioni religiose o filosofiche
• l’appartenenza sindacale
• i dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica
• i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona

• tutte le informazioni identificative, dai dati anagrafici alle immagini che ritraggono la persona
• i dati precedentemente definiti sensibili e quindi sottoposti a tutela particolare
• le informazioni giudiziarie che possono rivelare l’esistenza di determinati provvedimenti giudiziari a carico della persona
• i dati relativi alle comunicazioni elettroniche via telefono o internet come, per esempio, un indirizzo IP
• i dati che consentono di geolocalizzare una persona e da cui è possibile capire dove è andata, quando e a volte anche con chi
• i dati genetici e i dati biometrici

Esempi di dati sensibili o particolari, secondo il GDPR

• Peppino è sposato, fa l’agente di commercio ed ha un’amante, che incontra tra un cliente e l’altro mentre è in viaggio per lavoro. Un giorno sua moglie chiama in ufficio chiedendo di lui e la segretaria risponde che Peppino non si è presentato perché sta male. In realtà è al mare con l’amante. La moglie fa due più due e scopre la relazione extra-coniugale. La segretaria ha trattato e comunicato a persone a cui non poteva comunicare dati particolari? Sì, ha trattato in modo non conforme al GDPR un’informazione relativa allo stato di salute di Peppino. E poi, già che c’era, ha scatenato pure “trattamento relativo a dati vita sessuale”, ma questa è un’altra storia…

• Peppino fa il commerciale per la sua azienda. Usa un’auto aziendale e sull’auto c’è un sistema GPS che lo geolocalizza. È un dato particolare? No, ma è comunque un dato personale.

• Antonio è iscritto al Partito Comunista, ogni anno rinnova la tessera e quando può partecipa ai comizi. La sua adesione al PC è un dato particolare? Sì. È un’informazione che rivela le convinzioni politiche di Antonio.

• Antonio, appassionato di bocce, tutte le domeniche assiste alle partite degli anziani alla bocciofila di Borzano di Albinea. È un dato particolare? No, ma è comunque un dato personale, perché rivela un’abitudine di Antonio.

• Giulia è celiaca e Marta vegana. Sono dati particolari? Sì. La prima è un’informazione che rivela le condizioni di salute di Giulia, la seconda le sue convinzioni filosofiche.

• Giulia fa jogging tutte le mattine e Marta fa colazione al bar del paese una volta alla settimana. Sono dati particolari? No, ma sono comunque dati personali, perché riguardano lo stile di vita di Giulia e Marta………………

I dati particolari (ex-sensibili) non vanno mai trattati. È sempre vero? Dipende

• Alcuni dati particolari vanno trattati necessariamente per il calcolo della retribuzione e a fini pensionistici.

• Se l’interessato fa parte di una fondazione, di un’associazione o di un altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, questi enti possono trattare i suoi dati senza obbligo di consenso esplicito solo se il trattamento riguarda unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo per le sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato.

• È necessario trattare dati particolari per tutelare un interesse vitale dell’interessato o di un’altra persona fisica se l’interessato non può dare il suo consenso per incapacità fisica o giuridica.

• Il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato.

• Se l’interessato è coinvolto in un procedimento giudiziario – necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali – i suoi dati particolari possono essere trattati senza il suo consenso.

• Il trattamento è necessario per motivi di interesse pubblico rilevante.

• Il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali.

• Il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici.

• Il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici

Ricapitolando: cosa devi fare con i dati sensibili

Aziende, professionisti ed enti – quindi tutti i titolari del trattamento – spesso e volentieri incappano nei dati particolari, ex-sensibili, dei loro dipendenti, associati, clienti e così via.

Ecco cosa bisogna fare quando si trattano dati di questo tipo.

Chiediti: il dato che ho di fronte è solo personale o particolare?

Sono trascorsi diversi mesi dal 23 Maggio 2019, il termine ultimo definito dal Garante della Privacy per l’adeguamento alla GDPR da parte delle aziende e pochi mesi dal 19 Maggio 2019, data termine del periodo di giusta tolleranza, vista la complessità della norma, per l’applicazione delle sanzioni previste dal Regolamento UE per i Servizi Ispettivi eseguiti dal Nucleo Speciale della Guardia di Finanza.

A proposito della visita ispettiva… come funziona?
Ce lo racconta Andrea Chiozzi, socio fondatore di PrivacyLAB e autore di Il corvo. Una giornata da dimenticare per Andrea Kaiser.

Il corvo. Una giornata da dimenticare per Andrea Kaiser è il breve racconto, in tono romanzato, in cui il protagonista Andrea Kaiser, vive l’esperienza della visita ispettiva condotta dalla Guardia di Finanza alla Steel, azienda in cui il protagonista riveste il ruolo di Consulente GDPR.

Il racconto è breve e molto utile, sono sufficienti 15 minuti per la lettura completa.
Durante la lettura sarete immersi nella procedura di esecuzione dei Servizi Ispettivi relativi alla Compliance GDPR con l’emotività del protagonista e potrete comprendere a fondo le dinamiche tra richieste di Data Privacy Assessment, registro dei trattamenti, nomina del DPO, informative, nomine del Responsabile esterno e tanto altro.

Buona lettura!

Il corvo. Una giornata da dimenticare per Andrea Kaiser

Con il nuovo Regolamento Europeo, in vigore dal 25 maggio 2018, tutte le operazioni di trattamento dei dati che vengono effettuate all’interno di un’organizzazione, sia essa un’azienda, un ente o un’associazione, dovranno essere tracciate. E per farlo il titolare del trattamento e gli eventuali responsabili sono chiamati a utilizzare uno strumento: il registro dei trattamenti.

Cosa deve contenere il registro dei trattamenti?

Sul registro andranno indicate tutte le finalità del trattamento ma anche le informazioni di dettaglio, le modalità di conservazione dei dati, le misure di sicurezza applicate e tutte quelle tracce documentali necessarie per verificare che gli obblighi normativi previsti dal nuovo Regolamento Europeo siano costantemente rispettati.

Chi è obbligato a tenere il registro dei trattamenti?

L’articolo 30 comma 5 del General Data Protection Regulation non definisce obbligatoria la tenuta di questo registro ed esonera le imprese composte da meno di 250 dipendenti ad eccezione, però, di quelle che effettuano un trattamento che può rappresentare un rischio per i diritti e le libertà dell’interessato o che coinvolge in modo non occasionale dati particolari. Solo se i trattamenti a rischio non vengono effettuati allora il numero dei dipendenti diventa determinante per l’obbligatorietà della tenuta del registro. Va da sé che tutte le organizzazioni che hanno dei dipendenti di cui trattano, cosa certa, anche dati sanitari e quindi particolari, saranno obbligate a fare il registro dei trattamenti.

I diritti degli interessati

I diritti e le libertà degli interessati non riguardano solo la privacy ma anche il divieto di discriminazioni, la libertà di espressione e di pensiero, il diritto alla libertà di coscienza e di religione e la libertà di movimento. Si vanno quindi a toccare temi che riguardano la profilazione, come i dati pubblici raccolti durante la creazione di profili social, i sistemi di monitoraggio della rete sul comportamento degli utenti e quelli di geolocalizzazione.

In ottemperanza al GDPR 16/679 occorre valutare la “rischiosità” del trattamento e comprenderne il carattere occasionale o meno o se vengono inclusi dati di categorie particolari o relativi a condanne penali e a reati.

Parte ufficialmente il progetto PrivacyLab Academy, la nuova area di PrivacyLab interamente dedicata alla formazione sul GDPR e tutti gli aspetti legati al mondo della privacy.

Cosa è cambiato con il nuovo Regolamento Europeo? Quali sono le ricadute per aziende, enti e consulenti? Cosa deve fare un DPO e come deve comportarsi un direttore del personale o un responsabile d’impresa per essere a norma con la normativa in vigore?

L’obiettivo di PrivacyLab Academy è proprio quello di rispondere a queste e altre domande erogando corsi di alto profilo su General Data Protection Regulation, gestione dei dati personali, cyber security e privacy in generale.

Già dal 2004 PrivacyLab affianca alla web app per la gestione completa della privacy numerosi seminari ed eventi di approfondimento. Con l’Academy il percorso formativo di PrivacyLab si struttura e allarga anche a università e istituti di formazione pubblici e privati.

Alla guida dell’Academy è stato nominato un Comitato Scientifico il cui presidente è Andrea Benfenati, consulente aziendale e già docente PrivacyLab. Altri componenti del comitato sono l’avvocato del foro di Modena Barbara Sabellico, l’esperto ITC Daniel Melissa e il CEO di PrivacyLab Andrea Chiozzi.

Tutti i corsi organizzati da PrivacyLab Academy sono pubblicati ed evidenziati nella sezione formazione dei nostro sito.

Come va gestito un Data Breach in azienda secondo il GDPR? Cosa dobbiamo fare se abbiamo a che fare con una possibile violazione dei dati personali?

Ce lo spiega Andrea Chiozzi, CEO di PrivacyLab, in questo estratto dal meeting annuale del 1° marzo 2019 a Milano riservato ai Rivenditori Ufficiali di PrivacyLab GDPR e ai Consulenti Certificati PrivacyLab.

Scopri PrivacyLab GDPR e tutti i suoi tool per la gestione della compliance al GDPR.

Per saperne di più CONTATTACI

N4B SRL – www.n4b.it – commerciale@n4b.it – 328-7221519