La valutazione del rischio Privacy

Perché valutare il rischio per la protezione dati

Sebbene il Regolamento UE 679/2016 (ormai più noto con l’acronimo inglese, GDPR) indichi diverse volte la necessità di effettuare una valutazione dei rischi che incombono sui dati personali, in molte organizzazioni non c’è una chiara evidenza di un processo documentato di valutazione dei rischi che abbia portato ad intraprendere determinate azioni e misure di sicurezza.

Già all’art. 25 (Privacy-by-design & privacy-by-default), comma 1, il GDPR ci indica la necessità di effettuare una valutazione dei rischi:

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

Continua a leggere

Commenti alle nuove Linee Guida del Garante Privacy sui cookie

Il Garante per la Protezione dei Dati Personali ha recentemente pubblicato delle “Linee Guida sull’utilizzo dei cookie ed altri strumenti di tracciamento” in consultazione pubblica. Quindi, in base ai commenti ricevuti da diverse fonti, emanerà successivamente le Linee Guida definitive.

In questo articolo, pertanto, fornisco alcune considerazioni personali sulle Linee Guida stesse ed in generale sull’argomento “cookie ad altre tecnologie traccianti”, che normalmente sono presenti sui siti web – ma anche su app per dispositivi portatili -, ad integrazione ed aggiornamento di quanto riportato in un mio precedente articolo. Si consideri anche che, nel frattempo, alcune Autorità di Controllo Europee (ICO, CNIL,…) hanno pubblicato proprie linee guida e l’EDPB ha più recentemente pubblicato le Linee Guida sul Consenso, che riportano anche alcuni esempi sulla gestione dei cookie.

Continua a leggere

Misure di sicurezza di un’applicazione web per essere conformi al GDPR

Nella gestione della privacy di un’organizzazione talvolta ci si trova a valutare la conformità al GDPR (Regolamento UE 2016/679) di una applicazione web o web application fornita, spesso con modalità SaaS (Software As A Service) da un fornitore esterno.

Da un lato l’art. 28 del GDPR ci chiede di affidarci solo a responsabili del trattamento che garantiscano adeguate misure di sicurezza e la conformità al GDPR stesso, dall’altro l’art. 25 ci chiede che gli applicativi software che trattano dati personali siano “privacy by design” e “privacy by default”, ma cosa significa tutto ciò? Cosa dobbiamo realmente chiedere al fornitore di una web application? Anzi cosa dobbiamo pretendere per garantirci la conformità al GDPR?

Al di là degli obblighi del GDPR, molti imprenditori si pongono queste domande:

  1. Dove sono conservati i miei dati?
  2. Chi li può visionare?
  3. Saranno sempre nella mia disponibilità?
Continua a leggere

Come gestire il Responsabile del trattamento ai sensi del GDPR

Il Responsabile del trattamento, ai sensi dell’art. 28 del Regolamento UE 679/2016 (GDPR), è una figura molto ostica da gestire nell’ambito di un adeguamento della gestione della privacy di un’organizzazione italiana.

crop businessman signing contract in office

Moltissimi punti del GDPR definiscono prescrizioni applicabili ai titolari e/o ai responsabili del trattamento, ovvero alle figure che hanno determinate responsabilità nel trattare dati personali. Altri soggetti identificati dal GDPR (contitolari, “titolari autonomi” e soggetti autorizzati al trattamento) o sono riconducibili ad essi oppure hanno responsabilità di gran lunga inferiori.

Continua a leggere

Audit da remoto ai tempi del Covid-19

Dopo l’introduzione – da parte di ACCREDIA su indicazioni IAF (si veda il documento IAF ID03 “Management of Extraordinary Events or Circumstances Affecting  ABs”,  CABs  and  Certified  Organization e la circolare ACCREDIA DC 02/2020) – della modalità di effettuazione degli audit a distanza legati alla certificazione dei sistemi di gestione, il recente articolo L’AUDIT A DISTANZA. CONSIDERAZIONI GENERALI, MODALITÀ DI GESTIONE E SPUNTI  OPERATIVI pubblicato sul sito ACCREDIA, fornisce alcuni spunti di riflessione sulle modalità operative di gestione degli audit da remoto che gli Organismi di Certificazione (OdC) hanno iniziato a svolgere per mantenere il ritmo delle attività di sorveglianza e rinnovo delle certificazioni dei sistemi di gestione.

L’attività di auditing ha evidentemente un discreto impatto sui contatti interpersonali: interviste a varie persone, consultazione di documenti cartacei, visualizzazione di documenti digitali e siti internet, visione di reparti produttivi, ecc..

Per non bloccare per molto tempo queste attività, soprattutto in questa Fase 2 dell’emergenza Coronavirus nella quale quasi tutte le attività produttive sono riprese, anche se molte persone continuano giustamente a lavorare in smartworking, gli audit in campo sarebbero comunque difficili da condurre nel rispetto dei vari protocolli aziendali che prevedono misure molto rigide nei confronti dei fornitori che potrebbero avere accesso all’azienda, compresi i consulenti e gli auditor degli OdC. Sebbene le regole applicate siano molto disomogenee e i protocolli approvati dal Governo siano oggi esagerati se applicati a singole persone che accedono ai locali aziendali, quali auditor e consulenti, l’approccio degli OdC sembra sia fortemente orientato a svolgere comunque gli audit pianificati con le modalità “a distanza”, come previsto da ACCREDIA.

L’articolo sopra menzionato – sebbene non costituisca una regola da seguire da parte degli OdC – fornisce molti interessanti spunti di riflessione per comprendere se svolgere gli audit a distanza, quando svolgerli e come svolgerli.

Questa opportunità, commercialmente molto favorevole per gli OdC che altrimenti si vedrebbero bloccate le attività ed i conseguenti ricavi per diverso tempo, dovrebbe essere sfruttata cum grano salis, effettuando preliminarmente una valutazione dei rischi basata su diversi elementi, che comprendono la tipologia dell’organizzazione auditata, il tipo di verifica, la norma di riferimento, la complessità dell’organizzazione e del suo sistema di gestione, ecc.

Il rischio che si corre nell’attuare questa nuova modalità è quello di non svolgere un audit efficace, ovvero di effettuare delle valutazioni non sufficientemente esaustive e corrette, ovviamente a tutto “vantaggio” dell’organizzazione auditata che si vedrebbe così ad essere certificata, ovvero a continuare ad esserlo, con una certa facilità.

L’analogia con la Didattica a Distanza (DAD) è pienamente calzante: come la verifica delle competenze degli alunni deve cambiare modalità per garantire un giusto livello di severità della scuola, così devono cambiare le modalità di raccolta e valutazione delle evidenze dell’audit.

Il rischio vero, però, è quello di sminuire ulteriormente un settore (quello delle certificazioni del sistema di gestione) che già ha perso molta credibilità a causa di audit troppo soft.

Certe tecniche estremamente efficaci utilizzate negli audit degli anni novanta, e non sempre riprese nel corso degli anni 2000, potrebbero non essere applicabili negli audit a distanza. Ad esempio prendere un DDT a caso di un prodotto in fase di spedizione e ripercorrere tutta la vita del prodotto “all’indietro”, ovvero richiedere evidenza dei controlli di produzione, dei controlli sulla materia prima, dei controlli sulle lavorazioni esterne, della qualifica dei relativi fornitori, degli ordini/contratti con i fornitori, della gestione dell’ordine del cliente (e relativi termini di consegna), dell’offerta e magari anche della progettazione del prodotto, se applicabile. Oppure scegliere a caso una commessa, un ordine o un prodotto e poi verificare tutti gli annessi e connessi.

Anzitutto bisognerebbe stabilire con precisione modalità e mezzi di conduzione di un audit a distanza. Ad esempio, quale piattaforma collaborativa utilizzare: quella stabilita dall’OdC o quella utilizzata dal cliente/organizzazione. La scelta non può essere dettata dal caso o dall’auditor di turno, spesso un consulente esterno, che magari sceglie a sua discrezione una piattaforma che conosce meglio. Infatti, nel corso dell’audit possono transitare anche informazioni di una certa riservatezza e l’impiego di una piattaforma che garantisca adeguate misure di sicurezza e rispetto per la privacy dei dati personali usata in modo corretto è sicuramente un requisito necessario. Recentemente si sono verificate violazioni di dati su piattaforme molto diffuse e, inoltre, la conservazione dei dati in cloud ubicati fuori UE non garantisce sempre il rispetto del Regolamento UE 679/2016 (GDPR).

Dato che l’audit è svolto sotto la responsabilità dell’OdC è il medesimo a dover assicurare la sicurezza dei dati che vengono trasmessi dall’organizzazione, la quale potrebbe avere qualcosa da obiettare nel fornire direttamente su file alcune informazioni riservate: un conto è far visionare un’offerta commerciale ad un auditor che viene presso la mia sede e che neanche volendo riuscirebbe a ricordarsi i dettagli una volta uscito dall’azienda, un conto è fornire direttamente all’auditor il file completo dell’offerta con prezzi, codici di articoli, modalità di fornitura, ecc. Se anche solo per superficialità o per inadeguatezza delle misure di sicurezza del notebook dell’auditor la stessa offerta finisse nelle mani di un concorrente quali sarebbero le conseguenze? Normalmente gli auditor esterni all’Ente di Certificazione utilizzano propri notebook, non controllati dall’OdC stesso, che vengono portati in viaggio e possono essere smarriti o rubati…. dovrebbero avere tutti gli hard disk cifrati.

Probabilmente sarebbe opportuno che certi documenti contenenti informazioni più riservate (o comunque classificati) non siano trasmessi dall’organizzazione auditata all’auditor via e-mail o condivisi attraverso la piattaforma di comunicazione, ma semplicemente visualizzati condividendo uno schermo, come tutti i software di videoconferenza consentono, da Microsoft Teams a Google Meet, da Skyoe a GoToMeeting, a Webex, ecc.

Alcune informazioni raccolte dall’auditor sono contenute in documenti digitali (es. verbali di riesame della direzione, rapporti di audit interni, procedure, ecc.) altri sono invece reperibili da un sistema informatico, dunque si può tranquillamente prevedere la condivisione dello schermo da parte di un responsabile dell’organizzazione che apre un sistema gestionale e mostra – esattamente come farebbe durante un audit in presenza – gli ordini del cliente, gli ordini di produzione, la pianificazione della produzione, i controlli eseguiti, ecc.. In questo modo l’auditor può mantenere il controllo dell’audit e farsi mostrare l’elenco di tutti gli ordini o commesse e scegliere autonomamente quella/a da visionare. In molte realtà aziendali il sistema gestionale produce offerte, conferme d’ordine del cliente, ordini di acquisto, ordini di produzione ed altro già in formato pdf pronto da essere stampato per i reparti interni o per essere trasmesso via e-mail al cliente o al fornitore, dunque trasmettere o semplicemente visualizzare nella video-riunione (per i motivi di riservatezza di cui sopra) questi documenti all’auditor dovrebbe essere molto semplice.

Le classiche riunioni di apertura e chiusura e le interviste a responsabili normalmente svolte negli uffici possono essere tranquillamente condotte in conference call con il supporto della condivisione dello schermo per visionare documenti in formato digitale oppure documenti cartacei opportunamente scansionati al momento, ma come svolgere le verifiche nei reparti produttivi?

La valenza di un audit in un’azienda manifatturiera è fortemente in dubbio: l’audit della produzione è praticamente obbligatorio in tutte le aziende produttive e potrebbe essere condotto efficacemente solo in certe realtà, connettendosi a terminali dell’ufficio produzione e controllo qualità, ma anche attraverso smartphone connessi con la videocamera accesa per poter visionare i reparti produttivi, intervistare operatori in produzione, raccogliere evidenze di strumenti utilizzati, macchine di produzione, materiale immagazzinato e così via. È evidente che l’azienda potrebbe “guidare” l’audit un po’ più del solito rispetto all’audit in presenza.

Uno degli elementi che ACCREDIA invita a considerare nella valutazione del rischio sulla conduzione dell’audit è costituito dalla conoscenza dell’organizzazione da parte dell’auditor: naturalmente un auditor che ha visitato già l’azienda due o tre volte è in grado di valutare anche da remoto cosa è opportuno visionare e cosa no. Nelle indicazioni di ACCREDIA si invita gli OdC a visionare anche i layout/planimetrie degli stabilimenti dell’organizzazione per decidere quali reparti sarebbe opportuno visionare, se sono stati visionati in passato e così via.

Il documento IAF MD4:2018 (IAF MANDATORY DOCUMENT FOR THE USE OF INFORMATION AND COMMUNICATION TECHNOLOGY FOR AUDITING/ASSESSMENT PURPOSES) costituisce la guida per gli OdC per la conduzione degli audit da remoto, così come la circolare ACCREDIA e il documento IAF ID03, ma poiché permangono molti dubbi sull’applicabilità di questa modalità in diversi contesti sono state pubblicate anche delle FAQ sul sito IAF (https://iaffaq.com/).

Certamente permangono alcune perplessità sull’applicazione degli audit a distanza nella verifica di sistemi di gestione ISO 14001, ISO 27001 e altri, piuttosto che di sistemi ISO 9001. Oltre che all’applicabilità ad aziende di produzione, imprese di costruzione, installatori e manutentori di impianti, società di ingegneria con direzioni lavori.

Infine, resta da valutare la competenza dell’auditor nel gestire le tecnologie utilizzate per la conduzione dell’audit a distanza ed eventualmente a colmarle.

Sicuramente l’audit a distanza o da remoto è una grossa opportunità per mantenere la continuità operativa degli Organismi di Certificazione e di tutto il mondo delle certificazioni e dell’accreditamento (anche ACCREDIA ha attuato gli audit da remoto), contenendo anche i costi di spostamento degli auditor, ma è importante mantenere alta l’attenzione affinché questa metodologia non riduca l’audit di certificazione ad una mera formalità, minacciando l’attendibilità di tutto il sistema delle certificazioni.

Il (web)marketing ai tempi del GDPR

Con l’avvento del GDPR si è complicata la gestione della privacy dei destinatari delle azioni di web marketing, attraverso strumenti quali mail-marketing, newsletter, social network, cookie, pixel, beacon, ecc.. Con l’evoluzione della tecnologia legata ai cookie ed altre tecnologie similari anche una semplice navigazione di un sito internet a scopo puramente informativo sta diventando sempre più complicata, sia per il gestore del sito, sia per i “naviganti” che si trovano a dover accettare cookie policy, informative privacy e trattamenti consentiti che se si leggesse tutto si impiegherebbe più tempo rispetto a quello dedicato alla lettura dei contenuti veri del sito. Continua a leggere

La conservazione dei dati al tempo del GDPR

Il principio di limitazione dei tempi di conservazione dei dati personali è stato incluso nel Regolamento UE 679/2016 (il c.d. GDPR) ed è ribadito in diversi punti del Regolamento stesso. Ad esempio, al considerando 39 troviamo scritto:

“…Da qui l’obbli­go, in particolare, di assicurare che il periodo di conservazione dei dati personali sia limitato al minimo necessario. I dati personali dovrebbero essere trattati solo se la finalità del trattamento non è ragionevolmente conseguibile con altri mezzi. Onde assicurare che i dati personali non siano conservati più a lungo del necessario, il tito­lare del trattamento dovrebbe stabilire un termine per la cancellazione o per la veri­fica periodica. È opportuno adottare tutte le misure ragionevoli affinché i dati per­sonali inesatti siano rettificati o cancellati.” Continua a leggere

Quale Registro dei trattamenti per il GDPR?

Il registro delle attività di trattamento è uno dei pochi adempimenti obbligatori imposti dal Regolamento UE 679/2016, noto anche come GDPR. Anzi, probabilmente è l’unico documento da predisporre obbligatoriamente per quasi tutte le organizzazioni che trattano dati personali, infatti le esclusioni possibili – per interpretazione della stessa Autorità Garante Nazionale – non riguardano le aziende che gestiscono dei dipendenti, in quanto esse trattano dati appartenenti a particolari categorie di dati personali in modo non occasionale.

Continua a leggere

Prime esperienze di applicazione del GDPR

Il GDPR è divenuto pienamente attuativo dal 25 maggio scorso, anche se in realtà era stato pubblicato due anni prima, però il processo di adeguamento delle imprese italiane al GDPR è ancora in corso. Questo perché da un lato, come è consuetudine nel nostro Paese, le Imprese affrontano le scadenze legislative solo all’ultimo momento, non preoccupandosi di capire prima quanto tempo è necessario per l’adeguamento legislativo. Dall’altro anche le Istituzioni (Stato Italiano e Garante Privacy) stanno impiegando molto più tempo del previsto per rendere completo, ed auspicabilmente di chiara interpretazione, il panorama legislativo in materia di protezione dei dati personali.

Il fatto che molti punti del GDPR non sono di facile interpretazione e, anzi, gli approcci sono talvolta differenti, non ha fatto altro che rallentare il percorso di adeguamento.

Tra gli effetti collaterali di questo lento percorso di adeguamento c’è la difficoltà di interfacciarsi con i soggetti esterni all’impresa o allo studio professionale, perché il mondo perfetto in cui i miei clienti ed i miei fornitori sono già adeguati al GDPR – e lo hanno interpretato in modo uniforme – al momento non esiste, e non si sa quando ci si arriverà.

Passiamo ad esaminare le principali problematiche – e possibili soluzioni – delle prime applicazioni del GDPR in organizzazioni di diverso tipo e dimensioni.

1) Informative e consensi

L’informativa è lo specchietto delle allodole della nuova normativa sulla privacy; non bisogna credere che basta trovare un modello di informativa, magari gratuitamente dal web o da amici e colleghi, per aver risolto il problema privacy: uno su mille ce la fa! Solo pochi singoli (ditte individuali, professionisti singoli) senza dipendenti possono accontentarsi della nuova informativa.

Inoltre, l’informativa ha un contenuto che non può essere redatto in modo completo solo partendo da un modello standard e conoscendo l’art. 13 (e seguenti) del Regolamento UE 679/2016; occorre conoscere come funzionano i flussi di trattamento dei dati personali nell’organizzazione. Magari attraverso un’assessment ed una gap analysis approfondita, soprattutto nelle organizzazioni più complesse.

Infine, c’è il problema di come comunicare l’informativa agli interessati. Occorre analizzare bene requisiti normativi, processi gestionali ed esigenze organizzative per scegliere le modalità più opportune. Probabilmente un’informativa pubblicata su una pagina web ed una e-mail ai clienti (effettivi e potenziali) e fornitori, che comunica l’aggiornamento dell’informativa privacy, reperibile al sito www…. è la soluzione migliore nella maggior parte delle organizzazioni, soprattutto se operano B2B.

2) Responsabili esterni del trattamento

Il GDPR ci dice di identificare i soggetti esterni all’organizzazione che trattano per “suo conto” dati personali e di designarli come responsabili del trattamento attraverso un atto a valenza contrattuale.

In primo luogo occorre stabilire quali fornitori (e non solo) operano come responsabili del trattamento perché trattano dati personali di cui l’organizzazione è titolare del trattamento: società e studi che forniscono servizi contabili e fiscali, società e studi che forniscono servizi di elaborazione buste paga e consulenza del lavoro, società che forniscono servizi informatici (servizi di assistenza sistemistica, fornitori di software gestionale ed applicativo, fornitori di servizi cloud, ecc.) sono solo alcuni candidati… occorre anche qui capire come si svolgono le varie attività internamente ed esternamente ed è necessario valutare l’affidabilità del fornitore in termini di garanzie relative alla protezione dei dati personali.

Per gestire correttamente questo punto bisogna essere in due ed essere d’accordo sulla nomina di responsabile del trattamento e sui relativi obblighi contrattuali del responsabile.

Questa attività di “regolarizzazione” dei responsabili del trattamento è spesso lunga e non priva di ostacoli, anche per l’inerzia dei fornitori in questione a rispondere a semplici questionari nei quali si va a chiedere loro quali misure di sicurezza sono state implementate al loro interno (ad es. nella gestione operativa dello studio e/o nel software). Se poi il fornitore non accetta la nomina a responsabile del trattamento (e dei relativi obblighi contrattuali) perché si sente titolare autonomo o semplice soggetto autorizzato a trattare dati personali, ecco che il processo di adeguamento al GDPR si complica enormemente. Se si prende spunto dai sistemi di gestione qualità ISO 9001 si comprende che i fornitori dovranno essere “qualificati” per fornire la nostra organizzazioni e situazioni nelle quali il fornitore tiene “in scacco” il cliente in tema di privacy sono da evitare.

3) Registro delle attività di trattamento

È un adempimento non solo formale (praticamente l’unico richiesto alla stragrande maggioranza delle organizzazioni), ma sostanziale: per redigere il registro dei trattamenti (del titolare e del responsabile) bisogna conoscere quali dati personali vengono trattati, in quali processi dell’organizzazione e con quali modalità. Anche in questo caso occorre un’analisi dei processi dell’organizzazione precisa e puntuale. Effetto collaterale di questa attività di mappatura dei flussi di dati dell’organizzazioni potrebbe essere quello, gradito, di individuare gestioni di dati ridondanti e inefficienti, da eliminare in prospettiva, non solo di privacy.

Ci sono diverse interpretazioni nella composizione del Registro dei trattamenti, francamente non credo che le diverse interpretazioni possano costituire un rischio di compliance del registro dei trattamenti a fronte di ispezioni del Garante, dato che in fondo non esistono linee guida chiare sulle corrette modalità di alimentazione dei registri dei trattamenti (le recenti FAQ del Garante in merito non aiutano più di tanto).

Un registro completo anche di informazioni non necessariamente richieste dal GDPR, ma utili nella gestione dei dati personali (es. software gestionali ed applicativi che trattano i dati personali, funzioni aziendali autorizzate a trattare i dati, ecc.) risulta utile per comprendere come sono gestiti i dati personali.

Da ultimo, per completare i registri dei trattamenti occorre sapere per quali attività di trattamento l’organizzazione è titolare del trattamento e per quali è solo responsabile: e ciò si lega alle problematiche del punto precedente, anche in senso opposto, relativamente ai ruoli di titolare e responsabile del trattamento, o magari di contitolare.

4) Misure di sicurezza tecniche ed organizzative

La definizione delle misure di sicurezza adeguate è uno dei punti più difficili del GDPR. Propedeutica a questa attività c’è la valutazione dei rischi che incombono sui dati personali e soprattutto sulle persone fisiche cui si riferiscono.

Al di là della criticità o meno dei trattamenti effettuati dalle diverse organizzazioni occorre stabilire un livello minimo di sicurezza nei sistemi di protezione dei dati personali, coerente con gli standard nazionali ed internazionali e le best practice di sicurezza informatica. Il problema è che non esistono più le misure minime di sicurezza stabilite per legge, anche se alcune di esse (non tutte) rimangono valide a livello di standard minimo di sicurezza sostenibile davanti ad un Giudice. Infatti, dobbiamo pensare al caso peggiore: l’ispezione del Nucleo Privacy della Guardia di Finanza (magari a seguito di un data breach) e le richieste di risarcimento danni di un interessato che si ritiene danneggiato da una violazione dei suoi dati personali.

Allora occorre documentare lo stato dei sistemi informatici con riferimento alle misure di sicurezza implementate e documentare anche le misure organizzative attuare. È il minimo per dimostrare l’accountability, ma può essere solo un punto di partenza se le misure implementate non sono convincenti per essere sostenute nei confronti di terzi.

Nelle PMI talvolta la gestione sistemistica dei sistemi informatici è delegata ad un soggetto esterno (singolo professionista o società di servizi informatici). In questi casi il titolare dei trattamenti come minimo dovrebbe pretendere una descrizione dettagliata delle logiche di funzionamento dei sistemi e delle misure di sicurezza implementate, ma spesso il fornitore è restio a documentare una prassi non completamente sicura, implicitamente accettata dalla Direzione aziendale che non intendeva sobbarcarsi ulteriori costi per rendere maggiormente sicuri i sistemi.

Una misura di sicurezza (organizzativa) è costituita proprio dalla disponibilità di relazioni e dichiarazioni scritte da parte del fornitore di servizi IT.

Tra le misure organizzative di sicurezza rientrano anche nomine ad amministratore di sistema (secondo il provvedimento del Garante per la Privacy del 2008 ancora valido) di coloro che di fatto svolgono tali mansioni, contratti con fornitori che garantiscono sicurezze adeguate sui dati personali da essi gestiti, compresa una designazione a responsabile esterno del trattamento, la formazione del personale, procedure e istruzioni interne.

Su quest’ultimo aspetto risulta molto utile istituire una sorta di “Regolamento informatico interno”, che descriva le regole da seguire da parte del personale quando utilizza i dispositivi ITC messi a disposizione dall’azienda e non solo. Tale Regolamento dovrebbe trattare – coerentemente con le misure di sicurezza effettivamente implementate – argomenti quali: gestione delle password, gestione delle postazioni di lavoro, gestione dei dispositivi portatili, misure di sicurezza da adottare in viaggio, modalità di utilizzo dei dispositivi elettronici assegnati (cosa si può fare e cosa no), regole da seguire nella navigazione internet e nell’utilizzo della posta elettronica e così via.

Tali disposizioni, oltre che per la protezione dei dati personali, sono utili alla Direzione aziendale per garantirsi in caso di atti illeciti commessi da un dipendente tramite strumenti ICT dell’azienda.

Tornando alle misure di sicurezza informatica implementate, le principali carenze che si rilevano, soprattutto nelle piccole e microimprese, sono legate all’utilizzo di antivirus free (che talvolta non lo sono per utilizzo a fini commerciali), indirizzi di posta elettronica gratuiti, piattaforme in cloud gratuite, servizi di trasmissione di file di grandi dimensioni, ecc. Come noto il termine “gratis” è estremamente gradito a molti piccoli imprenditori, ma per chi tratta dati personali, specie se di tipo sanitario o giudiziario, i sistemi gratuiti offerti anche da importanti player mondiali quali Google, Microsoft, ecc. potrebbero non rappresentare una misura di sicurezza adeguata. Se i dati personali sono critici dal punto di vista della riservatezza, sistemi che non la garantiscono a priori (il servizio gratuito è generalmente fornito in cambio dell’utilizzo dei dati) non costituiscono la scelta migliore. Inoltre la conservazione di dati personali in cloud storage che fisicamente risiedono fuori dalla UE è ammessa solo sotto determinate condizioni.

Nuovo Decreto Legislativo n. 101 del 10 agosto 2018 – Codice Privacy emendato

Il Decreto Legislativo 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” è stato pubblicato in Gazzetta Ufficiale il 04/09/2018 ed entra in vigore dal 19/09/2018. Continua a leggere