Tag: gdpr

Posted on

Microsoft Office 365 e GDPR – Quale piano scegliere

Una grande novità del nuovo GDPR è costituita dal principio della “responsabilizzazione”  dei datori di lavoro, ossia dall’adozione di comportamenti pro-attivi, volti a dimostrare la concreta adozione di misure necessarie ad assicurare l’applicazione del regolamento

Tutti i soggetti sono tenuti a rispettare le 5 regole di cui abbiamo parlato qui:

  1. Uso della Crittografia
  2. Assicurare i requisiti generici di sicurezza
  3. Assicurare la continuità del servizi
  4. Elaborare efficaci procedure
  5. Fare attenzione ai rischi

Molti sono gli strumenti a disposizione che si dichiarano GDPR Ready, fra questi Office365 con la sua completa offerta di soluzioni Business.

Occorre però approfondire quale piano scegliere soprattutto in riferimento alla Crittografia.

Office 365 offre una soluzione di crittografia conosciuta come “Encryption at Rest and in Transit”.

Sia la versione Consumer che quella Business seguono gli standard TLS/SSL e AES per proteggere la confidenzialità e l’integrità dei dati degli utenti.

In particolare, per le informazioni in transito (Transit) tutti i server con i quali dialogano gli utenti instaurano con i client una sessione sicura usando TLS/SSL per proteggere i contenuti. Questo vale per tutti i device usati dai client come per esempio Skype for Business Online, OneDrive, Outlook e Outlook Online.

Per le informazioni a destinazione (Rest), Office 365 utilizza la funzionalità di protezione dei dati BitLocker Drive che usa l’algoritmo di crittografia AES 256bit sull’intera partizione nella quale sono conservati i dati dei messaggi, incluse email, Instant Messaging, al pari dei contenuti conservati in SharePoint Online e OneDrive.

I piani E3/E5 aiutano a proteggere i dati ulteriormente e a mitigare accessi non autorizzati, furto e perdita di dati ecc. Questa infografica MSFT_cloud_architecture_informationprotection mostra cosa è disponibile per tutti gli utenti e cosa è riservato ad E3 o E5.

Alcune delle funzionalità di E3 che possono aiutare in materia di GDPR sono:

  • Protection features provided by Azure Information Protection
  • Office 365 Message Encryption
  • Data loss prevention
  • Litigation Holds

Un buon posto dove iniziare per approfondire il tema è qui 

oppure qui 

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR e Banca dati DPO – Il Garante predispone la modulistica online

Dei DPO abbiamo già parlato qui, ricordiamo che non sempre è obbligatoria la nomina del Responsabile della Protezione dei dati ma qualora la vostra realtà rientri fra quelle interessate è importante sapere che in settimana partirà la procedura online che consente di comunicare al Garante la designazione della nuova figura.

Tutti i modelli sono da oggi disponibili sul sito della Authority, tutte le pubbliche amministrazioni e i privati il cui core business è legato al trattamento dei dati (art. 37)devono prenderne visione e prepararsi per l’inoltro elettronico.

Il consiglio è sempre di provvedere alla nomina anche nel caso non siate un soggetto obbligato, in modo da dar seguito al principio di accountability su cui fa perno il regolamento europeo.

Il modulo si compone di quattro fogli dove sono riportate le coordinate di chi effettua la comunicazione, del titolare o del responsabile del trattamento e, ovviamente, del DPO.

Il modulo andrà compilato online accedendovi attraverso il sito del Garante. Una volta inserite tutte le informazioni, si riceverà una mail con allegato un file. Quest’ultimo dovrà essere sottoscritto con firma digitale qualificata e spedito entro 48 ore dalla ricezione.

Il buon esito della operazione sarà comunicato a mezzo mail, contenente il numero di protocollo della pratica, a entrambi i soggetti coinvolti: il Titolare e il DPO.

Vi ricordo che l’obbligo di comunicazione scatta nel momento in cui si nomina il DPO.

Le informazioni saranno raccolte all’interno di una banca dati contenente quindi l’elenco nazionale dei DPO. Lo scopo è permettere al Garante di contattare in modo rapido i responsabili della protezione dei dati, responsabili che devono fungere da tramite tra Azienda/P.A. e il Garante.

Saranno inoltre promosse iniziative, occasioni di aggiornamento e diffusione di documentazione.

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR – Il ruolo del DPO/RPD , quando e chi nominare

Una delle figure chiave introdotte dal nuovo GDPR è il Data Protection Officer (DPO), altrimenti definito Responsabile della Protezione dei Dati (RPD).

L’onere della designazione del DPO/RPD spetta a tutti i soggetti che rientrano nei casi previsti dall’art.37, par.1, lett. B) e C) del Regolamento 2016/679 (UE).

Il presupposto è che si tratti di soggetti il cui core business consista in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di particolari categorie di dati personali come ad esempio reati e condanne penali.

A titolo esemplificativo e non esaustivo, sono quindi tenuti alla nomina: istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; CAF e patronati; società operanti nel settore delle “utilities” (telecomunicazioni, distribuzione di energia elettrica o gas); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.

Per tutti questi soggetti occorre ricordare che il ruolo di Responsabile della Protezione dei Dati Personali DPO/RPD, è una carica compatibile con altri incarichi a patto che non sia in conflitto di interessi.

A mio avviso è sempre preferibile assegnare l’incarico ad un soggetto esterno o a una persona giuridica. In ogni caso è meglio evitare di assegnare il ruolo a soggetti di alta direzione come l’A.D., membri del CdA, D.G. ecc.

Una alternativa è nominare un dipendente del titolare o del responsabile del trattamento (art.37, par.6 del Regolamento).

In tutti i casi una buona regola è procedere ad una chiara ripartizione delle competenze, individuando una sola persona fisica preposta alla interlocuzione con i soggetti interessati e l’Autorità di controllo.

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR e DPIA – A disposizione un software di valutazione gratuito

Il GDPR (di cui abbiamo parlato ultimamente qui), entrerà in vigore il prossimo 25 maggio. Il nuovo regolamento europeo sulla protezione dei dati – GDPR – prevede nuovi adempimenti a carico delle aziende.

Il Garante della Privacy continua a dimostrarsi molto attivo nel supportare gli imprenditori ed ha recentemente messo a disposizione un software gratuito realizzato dalla CNIL – l’autorità francese – di ausilio per la valutazione d’impatto sulla protezione dei dati (DPIA).

La procedura di cui all’art. 35 del Regolamento 2016/679, il Data Protection Impact Assessment (DPIA) è una valutazione necessaria nei casi di trattamento che preveda l’uso di nuove tecnologie, in quanto: “considerati la natura, l’oggetto, il contesto e le finalità, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche”.

Il software è gratuito e lo potete trovare qui, tradotto in lingua italiana, offre un percorso guidato per la valutazione di impatto, in accordo alle linee guida.

Attenzione, il software offre solo un primo orientamento e “non costituisce un modello al quale fare riferimento in ogni situazione di trattamento, non va inteso come schema predefinito per ogni valutazione d’impatto, che va integrata in ragione delle tipologie di trattamento esaminate. […] La valutazione d’impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

Privacy ed email – Vietata la conservazione senza limiti

E’ usanza diffusa di molti datori di lavoro la conservazione delle email scambiate tra i dipendenti tramite gli account aziendali.

Con provvedimento 53/2018 il Garante della Privacy ha però ritenuto illecita questa prassi per i seguenti motivi:

  • Risulta violato l’obbligo di informativa in accordo all’art. 13 del Dlgs 196/2002, laddove la società non abbia debitamente informato i dipendenti «circa modalità e finalità della descritta attività di raccolta e conservazione dei dati relativi all’utilizzo della posta elettronica, né con informativa individualizzata né con la messa a disposizione della policy aziendale»;
  • La conservazione sistematica di tutte le comunicazioni elettroniche scambiate dai dipendenti attraverso gli account aziendali, «anche in vista di possibili contenziosi, per l’intera durata del rapporto di lavoro e successivamente all’interruzione dello stesso», non è risultata conforme ai principi di liceità, necessità e proporzionalità del trattamento (articoli 3 e 11 del Dlgs 196/2003);
  • «La raccolta sistematica delle comunicazioni elettroniche in transito sugli account aziendali dei dipendenti in servizio, la loro memorizzazione per un periodo non predeterminato e comunque, allo stato, amplissimo e la possibilità per il datore di lavoro di accedervi per finalità indicate in astratto e in termini generali» consentirebbe alle società di effettuare un vero e proprio controllo a distanza dell’attività dei dipendenti, risultando perciò – in assenza di procedura autorizzativa – «in contrasto con la disciplina di settore in materia» (articolo 4 dello statuto dei lavoratori);

Delle email degli ex dipendenti abbiamo già discusso qui, il Garante ha ribadito che «gli account riconducibili a persone identificate o identificabili devono essere rimossi previa disattivazione degli stessi».

Non è quindi ammessa la procedura di molte aziende di mantenere temporaneamente attivi gli account degli ex dipendenti.

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR 2016/679 – 5 “semplici” regole

Del nuovo regolamento UE 2016/679 (RGPD o GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione dei dati, abbiamo già parlato qualche settimana fa : goo.gl/tVe5MY

A partire dal prossimo 25 maggio 2018, le aziende saranno chiamate a prestare maggiore attenzione nel trattamento dei dati aziendali e dovranno individuare un responsabile della protezione dei dati con una serie di obblighi informativi relativi anche gli standard di sicurezza e i rischi legati all’eventuale diffusione di dati.

Le PMI al di sotto dei 250 dipendenti, senza alcuna distinzione di fatturato, non sono obbligate a tenere il registro delle attività ma devono sempre rispettare le seguenti 5 regole sulla protezione dei dati :

1. Valutare l’uso di Crittografia e Psedomizzazione. Occorre rendere difficile il collegamento dei dati, mascherando questi ultimi mediante uno pseudonimo. Quando le informazioni personali che contengono elementi identificativi (nome, data di nascita, indirizzo ecc) vengono pseudonimizzate, gli elementi identificativi sono sostituiti da uno pseudonimo, che si ottiene, per esempio, crittografando gli elementi identificativi contenuti nei dati personali. Bisogna distinguere il dato pseudonimo dal dato anonimo in quanto i dati sono anonimizzati quando non contengono più alcun mezzo identificativo, mentre sono pseudonimizzati se i mezzi identificativi sono criptati. Attenzione, il regolamento non impone sempre e comunque l’uso della crittografia ma obbliga a valutare caso per caso quelli che possono essere i rischi inerenti a quello specifico trattamento e attuare, di conseguenza, misure per limitare tali rischi.
2. Assicurare i requisiti generici di sicurezza. Garantire quindi, su base permanente, i requisiti di riservatezza (ovvero la protezione dei dati trasmessi o conservati per evitarne l’intercettazione e la lettura da parte di persone non autorizzate) integrità (come conferma che i dati trasmessi, ricevuti o conservati siano completi e inalterati), disponibilità (come conferma che i dati siano accessibili e i servizi funzionino anche in caso di interruzioni dovute a eventi eccezionali o ad attacchi di pirateria informatica) e di resilienza (come capacità di reazione di un sistema a fronte di un evento che metta a rischio la sicurezza delle informazioni e dei dati trattati) dei sistemi e dei servizi di trattamento.
3. Assicurare la continuità del servizio. Occorre dimostrare la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
4. Elaborare efficaci procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
5. Fare attenzione ai rischi legati alla distruzione, perdita, modifica, divulgazione non autorizzata o all’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Da amante del rischio (inteso come sua valutazione e gestione), desidero trattare ulteriormente l’ultimo punto. Qualsiasi analisi NON può prescindere dalla valutazione dei rischi! E’ importante comprendere il cambiamento di approccio, il regolamento pone con forza l’accento sulla “responsabilizzazione” di titolari e responsabili — ossia, sull’adozione di comportamenti pro-attivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. I titolari potranno decidere autonomamente le modalità del trattamento dei dati ma a patto che siano compatibili con la valutazione dei rischi svolta a monte, prima quindi di procedere al trattamento vero e proprio.

Il rischio inerente al trattamento è da intendersi come rischio di impatti negativi sulle libertà e i diritti degli interessati, tali impatti dovranno quindi essere opportunamente analizzati attraverso idonei processi di valutazione.

Potete consultare il testo integrale del regolamento qui : goo.gl/YA1gPZ

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

General Data Protection Regulation (GDPR) 2016/679: la nuova governance dei dati

Il nuovo Regolamento UE 2016/679 (RGPD o GDPR) del parlamento europeo, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione dei dati, diventerà pienamente esecutivo il prossimo 25 Maggio 2018 e abrogherà la direttiva 95/46/CE (GUUE 4 maggio 2016, L 119/1).

La nuova disciplina europea obbligherà le aziende alla revisione dei propri modelli di sistemi di gestione privacy incidendo sui modelli so+
6cietari di governance dei dati.

Tra i principi introdotti dal regolamento, una grande novità è costituita dal principio della “responsabilizzazione” dei datori di lavoro, ossia dall’adozione di comportamenti pro-attivi, volti a dimostrare la concreta adozione di misure necessarie ad assicurare l’applicazione del regolamento.
In altri termini, viene affidato ai datori di lavoro il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali all’interno della propria azienda.
I titolari di aziende, a prescindere dalle dimensioni numeriche e/o di fatturato, dovranno effettuare un dettagliato censimento dei trattamenti in essere e compilare un apposito registro.
Seguirà l’indispensabile valutazione dei rischi, in base alla quale costruire il modello di gestione della privacy, applicando un altro principio cardine innovativo che può essere sintetizzato dall’espressione inglese “data protection by default and by design”.

Il trattamento dei dati personali dovrà essere configurato prevedendo fin dall’inizio le garanzie indispensabili “a soddisfare i requisiti” del regolamento e a tutelare i diritti degli interessati, tenendo conto del contesto complessivo ove il trattamento si colloca e dei rischi per i diritti e le libertà degli interessati.

Tutto questo deve avvenire a monte, prima di procedere al trattamento dei dati vero e proprio, e richiede, pertanto, un’analisi preventiva e un impegno applicativo da parte dei titolari, che deve sostanziarsi in una serie di attività specifiche e dimostrabili.

Necessaria è quindi la valutazione d’impatto privacy, che ha la finalità di evidenziare il rischio del trattamento ovvero di individuare tutto ciò che può avere un impatto negativo sulle libertà e i diritti degli interessati.

Mancano davvero pochi mesi, quali attività hanno messo in campo le vostre aziende? Siete pronti al cambiamento?

Se sei interessato al GDPR ti consiglio il testo “Il GDPR è un gioco da ragazzi” che ho elaborato a supporto di tutti coloro che come me si trovano ad affrontare l’adeguamento al nuovo Regolamento GDPR. Il lavoro contiene una grande quantità di modelli (nomine, informative, istruzioni) e approfondimenti che sono sicuro ti saranno utili.

Lo puoi trovare su Amazon ed è disponibile per Kindle Unlimited.

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited

Posted on

Email degli Ex-Dipendenti – Obbligatoria la chiusura e la notifica

Inutile parlarne, quanti di noi negli ultimi anni hanno cambiato datore di lavoro?

Che sia per motivi di Crisi o di Opportunità può capitare di cambiare maglia, in questi casi per tutelare la Privacy dell’ ex-dipendente il datore di lavoro ha i seguenti OBBLIGHI:

– Chiusura della mail aziendale SENZA inoltro automatico ad altro account;

– Comunicazione ad eventuali terzi (e magari all’ex-lavoratore) della dismissione dell’indirizzo di posta elettronica;

– Segnalazione di un account aziendale alternativo al contatto utilizzato fino a quel momento.

In caso contrario, ovvero qualora il datore di lavoro mantenga in essere le email di lavoratori non più alle proprie dipendenze, magari inoltrando su altro account la corrispondenza, ad essere violato è il Codice della Privacy.

Il Codice della Privacy VIETA inoltre il mantenimento in essere di account di posta elettronica a nome di un lavoratore cessato con l’inoltro automatico dei messaggi ricevuti verso la casella di un altro dipendente in servizio. A precisarlo è stato proprio il Garante per la protezione dei dati personali con provvedimento 450/2015.

Sembra chiaro vero? Ciò nonostante sono numerose le aziende che “dimenticano” di osservare queste istruzioni, per fortuna le bugie hanno le gambe corte e spesso è sufficiente inoltrare una mail informale all’ex datore di lavoro chiedendo la chiusura della mail aziendale.

Per tutti gli altri casi c’è sempre il garante per la privacy – http://www.garanteprivacy.it/ – al quale chiedere aiuto.

E a voi è mai capitato?

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime