Posted on

Browser Isolation – Come allontanare (fisicamente) la tua società da malware e virus

La stragrande maggioranza degli attacchi informatici inizia con la navigazione web e interessa direttamente gli utenti nel corso della loro routine quotidiana.

Secondo la Gartner, oltre il 98% degli attacchi proviene dalla rete pubblica e di questi, l’80% avviene tramite browser.

Il tema è serio per tutte le aziende, soprattutto quelle che permettono ai dipendenti la navigazione libera e la consultazione delle webmail personali.

I tool attualmente utilizzati come gli anti virus, i firewall ecc., sembrano quindi non sufficienti a garantire un livello di protezione adeguato.

I dati parlano di una tendenza allarmante che vede un incremento degli attacchi tramite browser di oltre il 250% nel 2017.

La soluzione che sta prendendo ultimamente piede, adottata da molte aziende, è isolare i browser, in accordo a quanto suggerito da numerose realtà come la Gartner che raccomanda questa soluzione in quanto sembra essere la più efficace.

I browser dei terminali aziendali (e tutte le attività svolte attraverso di essi) non devono per forza essere connessi al network interno e alla infrastruttura aziendale.

Approfondiamo il tema.

Browser Isolation – Cos’è?

La Browser Isolation è l’arte di isolare fisicamente il browser dal tuo computer, isolando quindi tutti i possibili attacchi browser based come malware e ransomware.

L’obiettivo è raggiunto collocando un “vuoto d’aria” tra il browser e il pc, creando una barriera fisica che non può essere superata dai malware.

L’isolamento fisico dei browser permette alle società di eliminare una grande quantità di attacchi (sia “infiltration” che exfiltration”), migliorando con un approccio proattivo la cybersecurity.

Questo ultimo aspetto potrebbe essere molto interessante in relazione al GDPR, che come sappiamo impone al titolare dei dati un approccio proattivo al fine di tutelare la sicurezza dei dati personali.

La Browser Isolation può essere ottenuta in tanti modi abbastanza semplici come quello di usare una Virtual Machine sul tuo PC oppure accedere in remoto con un servizio cloud.

Remote Browsing – Di cosa si tratta?

Il Remote Browsing è di fatto esattamente la stessa cose della Browser Isolation, la differenze è che con il Remote Browsing non devi ospitare nessun Browser Isolation Server a casa tua, riducendo ulteriormente i rischi di attacco.

Parliamo quindi di un servizio remoto a pagamento che permette di accedere alla rete tramite un browser dedicato in cloud, come ad esempio webgap.

I rischi sono quindi “a carico” del server sul quale è installato il web browser, isolando il tuo ambiente. Gli utenti accedono al browser cloud navigando normalmente ma senza essere esposti a pericoli.

Nei prossimi aggiornamenti proverò a fornire un elenco dei remote browser e dei servizi attualmente sul mercato. Il consiglio della Gartner è quello di approcciare velocemente a queste soluzioni per ridurre significativamente il numero di attacchi.

Voi cosa ne pensate? Avete già provato una soluzione di questo tipo?


Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR – Privacy, le prossime scadenze

GDPR – Il 19 Settembre entra ufficialmente in vigore il decreto legislativo 101, raccordo tra le vecchie norme nazionali in materia privacy e il Regolamento vigente, di cui abbiamo parlato qui.

Restano ancora sospesi molti aspetti come la ricognizione dei sette codici deontologici e delle autorizzazioni generali.

La strada sembra ancora in salita, analizziamo di seguito alcune delle prossime scadenze:

19 settembre 2018 – interruzione dei termini di prescrizione per la riscossione selle sanzioni oggetto di condono e decadenza autorizzazioni generali diverse da quelle oggetto di aggiornamento;

3 ottobre 2018 – termine ultimo entro cui il Garante si impegna a dare notizia delle modalità di trattazione del contenzioso pregresso;

18 dicembre 2018 – termine ultimo entro cui l’autorità giudiziaria si impegna a trasmettere alla autorità amministrativa competente gli atti dei procedimenti penali relativi ai reati divenuti illeciti amministrativi. Termine ultimo per usufruire del condono e quindi termine ultimo per effettuare il pagamento in misura ridotta delle sanzioni che al 25 maggio 2018 non erano ancora state definite.

Entro questa data il Garante verifica la compatibilità con il Gdpr dei codici deontologici, i nuovi codici sono sottoposti a consultazione pubblica per 60 giorni e poi pubblicati sulla Gazzetta Ufficiale. Sino a quel momento continuano a produrre effetti i vecchi codici

Entro questa data il Garante verifica la compatibilità con il Gdpr delle autorizzazioni generali, se necessario le aggiorna e le sottopone a consultazione pubblica. Le nuove autorizzazioni generali devono essere adottate entro 60 giorni dalla chiusura della consultazione e pubblicate sulla Gazzetta Ufficiale. Da quel momento cessano di produrre effetti le vecchie autorizzazioni generali ;

Dicembre 2018 – Presumibilmente entro questo mese si può presentare al Garante richiesta di trattazione di segnalazioni, reclami e richieste di verifica preliminare. In caso contrario, quegli atti diventano improcedibili;

16 Febbraio 2019 – Termine ultimo per effettuare il pagamento delle sanzioni non oggetto di condono;

18 Marzo 2019 – Termine ultimo entro cui le associazioni e gli altri organi rappresentativi sono chiamati a sottoporre al Garante i codici deontologici. Entro sei mesi dalla presentazione di quegli schemi va completata la procedura di approvazione. Sino a quel momento continuano a produrre effetto i vecchi codici;

17 Maggio 2019 – Fine del periodo transitorio durante il quale il Garante si è impegnato a tenere conto, nell’applicazione delle sanzioni amministrative, delle novità introdotte dal GDPR;

31 Dicembre 2019 – Ultimo giorno per accedere al registro dei trattamenti;

12 Marzo 2020 – Entro questa data il ministero della Giustizia deve adottare un decreto che, in mancanza di una legge o di un regolamento, autorizzi il trattamento dei dati personali relativi a condanne penali e a reati


Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR – Pubblicato il “nuovo” Codice Privacy

GDPR, lo scorso 4 settembre è stato finalmente pubblicato in Gazzetta Ufficiale il Decreto legislativo del 10 Agosto riguardante il nuovo “codice della privacy italiano” rubricato: Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Il nuovo codice privacy entrerà in vigore il prossimo 19 settembre e prevede 8 mesi di “ragionevolezza” del Garante nell’applicazione delle sanzioni, formalizzando un intento già promosso in passato dal Garante stesso (vedi articolo qui).

La commissione ha deciso di novellare il codice privacy esistente, nonostante il GDPR abbia introdotto un importante cambiamento di approccio, introducendo il principio di accountability. Una scelta che mira a garantire la continuità, facendo salvi per un periodo transitorio i provvedimenti del Garante, le autorizzazioni generali e i codici deontologici, oggetto di un futuro riesame.

Scelta abbastanza impopolare: il Codice Privacy è stato in passato oggetto di diversi aggiornamenti e l’ultima rivisitazione ha complicato l’interpretazione del testo.

Il nuovo Decreto Legislativo 101 del 10 agosto allinea quindi il Codice Privacy al GDPR e formalizza, in considerazione della complessità del GDPR ma sempre compatibilmente con il Regolamento, un approccio ragionevole nella applicazione delle sanzioni amministrative nei primi 8 mesi di applicabilità.

Ancora, in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante individui modalità semplificate di implementazione del GDPR.

Attenzione a cantare vittoria, le semplificazioni potranno interessare le modalità di adeguamento ma non certo gli obblighi previsti dal GDPR, anche in considerazione del fatto che dallo scorso maggio le aziende dovrebbero aver già provveduto ad adeguarsi al Regolamento.

Esistono alcuni casi particolari, ad esempio, i dati relativi alla salute saranno oggetto di uno specifico provvedimento del Garante che con cadenza biennale sarà chiamato ad individuare le specifiche misure di garanzia e condizioni di trattamento applicabili.

Ancora, per il trattamento dati in ambio di rapporti di lavoro e di ricerca scientifica, il Garante potrà adottare delle specifiche regole deontologiche.

Le aziende possono continuare a delegare internamente specifici compiti in materia privacy (il vecchio responsabile interno del trattamento sopravvive, anche se cambia nome) e soprattutto possono scegliere come, in concreto, autorizzare il personale al trattamento dei dati, beneficiando di una certa discrezionalità nel definire il proprio modello organizzativo privacy.

Possiamo concludere che il nuovo Codice Privacy lascia di fatto aperte diverse questioni che saranno chiarite nei prossimi mesi dal Garante.

La sfida per il corretto adeguamento continua.


Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

Il GDPR è un gioco da ragazzi!

Se sei interessato al GDPR ti consiglio il testo “Il GDPR è un gioco da ragazzi” che ho elaborato a supporto di tutti coloro che come me si trovano ad affrontare l’adeguamento al nuovo Regolamento GDPR.

Il lavoro contiene una grande quantità di modelli (nomine, informative, istruzioni) e approfondimenti che sono sicuro ti saranno utili.

Lo puoi trovare su Amazon ed è disponibile per Kindle Unlimited 


Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR – 5 sorprendenti benefici per chi si adegua

Tutte le organizzazioni stanno investendo grandi risorse ed energie per allinearsi alle nuove disposizioni del GDPR.

La buona notizia è che chi si adegua opportunamente potrebbe ritrovarsi ad avere più di un vantaggio competitivo.

Di seguito vi evidenzio 5 sorprendenti benefici per chi si adegua.

1) Maggiore sicurezza

Il GDPR impone che l’azienda implementi un adeguato livello di sicurezza, sia a livello tecnico che organizzativo, per prevenire la perdita di dati, la perdita di informazioni oltre che operazioni non autorizzate di elaborazione dati.

Ovviamente non esiste alcuna piattaforma che tuteli completamente dalla perdita dei dati. Piuttosto occorre la dinamica combinazione di persone, processi e prodotti.

Il GDPR ha stimolato il confronto tra Management e IT al fine di definire quali dati occorre proteggere, dove risiedono e come vengono salvaguardati. Le Compagnie stanno usando il GDPR anche come leva per discutere i futuri obiettivi in termini di miglioramento della sicurezza e dei processi per assicurare la protezione dei dati.

2) Maggiore consapevolezza della sicurezza

Uno dei principi fondamentali del GDPR è rendere agli individui un maggiore controllo dei loro dati personali, come ad esempio il diritto di chiederne la cancellazione.

Prima che il GDPR diventasse “virale”, molte persone ignoravano che i loro dati sensibili avevano bisogno di protezione, in alcuni casi ignoravano addirittura che fossero raccolti. Le Compagnie, d’altra parte, avevano scarsa sensibilità rispetto alla protezione dei dati e dei diritti individuali.

Il GDPR ha sicuramente forzato le Compagnie ad aumentare il loro livello di protezione ma ha anche elevato la consapevolezza degli utenti.

E la consapevolezza che la sicurezza sia importante, è un vantaggio per tutti.

3) Procedure di sicurezza più snelle

Le Organizzazioni stanno sicuramente investendo tempo e denaro per adeguarsi al GDPR.

La buona notizia è che il lavoro compiuto per analizzare, documentare e manutenere le procedure di sicurezza, verificare l’efficacia dei programmi e risolvere tutti i problemi, porta in molti casi a snellire le procedure. L’analisi rafforzerà inoltre i processi per la valutazione e la mitigazione dei rischi.

4) Maggiore chiarezza sui data-breach

Ogni Organizzazione vittima di data breach dovrebbe informarne partner e clienti. La notifica è a volte una buona abitudine, altre volte un requisito normativo, altre un obbligo contrattuale.

Numerose aziende, negli anni, hanno celato informazioni sulla violazione dei dati che gestivano, comunicando l’avvenimento giorni, settimane o anche molti mesi dopo.

Questo è sicuramente un danno per i clienti ma anche per le Compagnie, danneggiate dalla perdita di immagine.

Il GDPR da istruzioni precise circa tempi e metodi con cui segnalare una violazione dei dati, chiarendo e uniformando lo scenario.

5) Maggiore fiducia

Tendiamo ad assumere che tutti stiano confortevolmente lavorando, facendo shopping o siano intenti in altre attività online, ma non è la regola. Gli utenti della rete sono ancora timorosi e spesso a ragion veduta.

Il GDPR è sicuramente destinato ad aumentare la fiducia degli utenti, articolando chiaramente i rischi legati alla protezione dei dati e ciò che occorre fare per tutelarsi.

La maggiore fiducia porterà ad un aumento dell’attività online con conseguente riduzione dei costi per le Compagnie e una espansione dei servizi.

In effetti, la conformità con GDPR è solo l’inizio.


Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR, mailing list e double opt-in – In cosa consiste il double opt-in e perché suggerisco di usarlo.

Nell’ambito dell’email marketing, l’opt-in è l’opzione attraverso la quale l’utente esprime il proprio consenso ad essere inserito in una mailing list per ricevere email pubblicitarie o informative.

La Opt-in Page è una Landing Page speciale che ha lo scopo di incrementare la tua lista di contatti, costruendo una rete di potenziali clienti/follower in poco tempo.

Per farla breve, la Opt-in Page ha un solo fine: ottenere l’indirizzo mail degli utenti che stanno visitando il tuo sito invogliandoli (o meglio incentivandoli) ad iscriversi alla tua mailing-list.

Lo strumento è molto utilizzato da chi fa web marketing, gli indirizzi email sono un patrimonio inestimabile perché se gestiti opportunamente con una corretta strategia di Lead Generation, permettono di incrementare le vendite.

Il double opt-in, aggiunge un ulteriore step. In pratica, quando un contatto compila il modulo di iscrizione alla mailing list, riceve una mail che richiede venga confermata l’iscrizione.

Se hai una mailing list e stai usando una strategia diversa dal double opt-in per ottenere il consenso, probabilmente stai facendo un casino.

Attenzione, usare il double opt-in non è obbligatorio ai sensi del GDPR ma è il modo migliore per gestire l’iscrizione alla tua mailing list.

In base al GDPR, non è più sufficiente ottenere il semplice consenso ma è necessario tenere e manutenere un registro di tale consenso. Occorre avere “un timbro e una data”.

Il double opt-in è un grande strumento in quanto restituisce “il timbro e la firma”, in un formato digitale indipendentemente da dove è stato fornito il consenso iniziale effettivo.

La scelta tutela sia l’utente stesso che l’azienda titolare dei dati, quest’ultima ha a disposizione una prova di un consenso autorizzato oltre a una verifica di validità dell’indirizzo inserito.

Il double opt-in è quindi una buona prassi per essere sicuri che tutti abbiano dato il corretto consenso. Non nego che da un punto di vista pratico, l’uso del double opt-in potrebbe rendere più complicato ottenere il consenso e capisco quindi eventuali perplessità vista anche l’assenza di particolari obblighi.

Il GDPR impone però un approccio proattivo per dimostrare di aver fatto il possibile affinché i tuoi contatti non siano tratti in inganno.

Aspetto le vostre considerazioni, buona giornata a tutti!

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR – Organigramma Privacy e descrizione attori principali

Del ruolo del DPO, nuova figura introdotta dal vigente GDPR, abbiamo già parlato qui.

Oggi voglio approfondire il tema dell’organigramma privacy e i suoi relativi attori.

Le figure privacy chiave disciplinate dal GDPR sono il titolare (e i con-titolari), il responsabile (e sub-responsabili), il DPO e gli autorizzati (gli incaricati del vecchio dlgs 196).

IL TITOLARE

Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Il titolare ha autonomia decisionale in merito alle modalità di trattamento dei dati ed ha i seguenti obblighi:

  • mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento
  • adottare politiche interne conformi al Regolamento
  • essere in grado di dimostrare che il trattamento è conforme al Regolamento (principio dell’accountability)
  • essere in grado di dimostrare di avere adottato misure (organizzative e tecniche) adeguate ed efficaci per la protezione dei dati personali.

IL RESPONSABILE

Il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

E’ designato dal titolare con un contratto o con altro atto giudico che deve necessariamente disciplinare:

  • la durata, natura e finalità del trattamento
  • le categorie dei dati oggetto del trattamento
  • le categorie di interessati
  • gli obblighi e diritti del titolare
  • le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e del Regolamento.

Con gli stessi obblighi è consentita la nomina di sub-responsabili dedicati a specifiche attività di trattamento. È sempre il responsabile a rispondere di eventuali inadempimenti dei sub-responsabili a meno che sia dimostrabile che l’evento dannoso non gli è in alcun modo imputabile.

IL DPO

Il Data Protection Officer (DPO), altrimenti detto responsabile della protezione dei dati, è designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del GDPR. Coopera con l’Autorità (attenzione ai casi in cui vada comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.

Il DPO ha il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali all’interno di un’azienda, secondo le direttive imposte dalle normative vigenti: potrà essere un soggetto interno (dipendente o collaboratore) o esterno (società di consulenza) e dovrà possedere competenze sia in aree giuridiche che informatiche e una ampia conoscenza della normativa. Egli esegue le proprie funzioni in completa indipendenza (senza ricevere alcuna istruzione o imposizione gerarchica) e riferisce sul suo operato direttamente ai vertici aziendali, i quali, per la piena esecuzione dei suoi compiti dovranno fornire risorse adeguate.

Gli autorizzati

La figura  dell’autorizzato (art. 30 del codice privacy) non è presente in nessuna delle altre 27 legislazioni degli Stati membri dell’Unione e di fatto non è una figura autonoma prevista dal GDPR. Il Garante ha avuto non poche difficoltà nell’introdurla nella legge italiana siccome le altre DPA europee ritengono possa creare ambiguità con la figura dei responsabili.

Gli autorizzati (art. 4.1 del codice privacy) sono persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile. Si tratta di una volontaria responsabilizzazione di queste persone attraverso una specifica lettera di attribuzione di incarico che individui puntualmente l’ambito del trattamento consentito.

ORGANIGRAMMA DELLA PRIVACY

L’organigramma della privacy sarà diverso a seconda delle dimensioni della società
. Le grandi aziende, ad esempio, dotate di risorse economiche adeguate e di profili competenti potranno strutturare le proprie organizzazioni in modo tale da garantire al DPO un ufficio ad hoc ove all’interno opereranno figure esperte di normativa, informatica, risk management, legale e sicurezza aziendale principalmente incaricate del controllo di conformità al GDPR.

Nel contempo, in queste aziende, dovranno essere presenti anche strutture più operative, che si dovranno occupare della concreta realizzazione degli adempimenti normativi previsti dal GDPR.

Pensiamo ad esempio alla redazione dei moduli d’informativa alla clientela, della cura delle nomine a responsabile esterno del trattamento dei dati, la realizzazione del Privacy impact assesment etc.

Anche le aziende di medio grandi dimensioni, sono generalmente già dotate di risorse interne con competenze in risk management, legali, normative, IT, etc., anche se non specializzate in ambito data protection. Un secondo modello organizzativo che potrà quindi essere adottato in molte realtà medio/grandi si baserà su una figura di DPO indipendente, che insieme a un numero contenuto di collaboratori, nello svolgere le proprie attività, potrà avvalersi del supporto e della collaborazione dei vari uffici – compliance, legale, Sicurezza, IT, internal audit – che a diverso titolo e livello contribuiranno al pieno rispetto dei principi sanciti in ambito Privacy.

Soprattutto in una fase di implementazione iniziale del nuovo modello organizzativo, il DPO potrà avvalersi altresì del supporto costante di una società di consulenza esterna, alla quale potrà rivolgersi affinché si possa rafforzare il presidio di conformità al nuovo Regolamento.

Ancora, un ulteriore modello organizzativo potrà prevedere la nomina da parte del titolare o del responsabile di un professionista o un’organizzazione esterna in qualità di DPO.

Aspetto i vostri commenti e suggerimenti, a presto!

29 giugno : articolo aggiornato in base ai graditi suggerimenti di Simone Chiarelli.


Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR e HR: per quanto tempo conservare i dati? Scacco matto in 6 mosse

GDPR e dati dei dipendenti. E’ prassi diffusa applicare il termine di dieci anni (prescritto dal Codice delle Obbligazioni per numerosi documenti amministrativi), anche per alcuni atti personali.

Ad esempio, i documenti necessari per le assicurazioni sociali o la dichiarazione di salario, per allestire o giustificare i certificati di lavoro e per fornire referenze devono essere conservati per dieci anni dopo lo scioglimento del contratto di lavoro.

Cosa cambia con il GDPR?

Il nuovo GDPR indica che i dati personali possono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti e trattati.

Pertanto, ogni azienda, società o altro tipo di ente dovrà adeguarsi a tale previsione normativa, provvedendo senza ritardo alla cancellazione o alla anonimizzazione dei dati nel momento in cui la conservazione dei dati personali non risulti ulteriormente giustificata.

Cosa cambia per le Risorse Umane?

La regola generale è eliminare i dati nel momento in cui viene meno lo scopo di raccolta degli stessi, a meno che non esistano altri motivi per la conservazione. Il consiglio è quindi di delineare un regolare processo di revisione e di pulizia dei database delle risorse umane.

Il GDPR impone alle Risorse Umane di delineare e spiegare, per ogni categoria di dati personali, il motivo e la durata del trattamento.

Per mettersi al sicuro prova a gestire ogni categoria di dati dei dipendenti con questi 6 passaggi:

  1. Svolgi un audit. Analizza in che modo sono registrate le informazioni, il motivo, la durata e la relativa motivazione;
  2. Nomina un responsabile che sia opportunamente formato;
  3. Valuta i rischi associati alle tue registrazioni. Redigi un documento da allegare al tuo registro dei rischi
  4. Proteggi i dati assicurandoti che siano oggetto di back-up e che non possano essere rubati o manomessi;
  5. Sostieni i diritti individuali. Assicurati di poter accedere, modificare o cancellare i dati se richiesto da un dipendente
  6. Svolgi esami periodici. Controlla i tuoi dati regolarmente e distruggi tutti i record che non ti servono. Se ritieni che alcuni dati debbano essere conservati più a lungo di quanto si pensi, devi ricevere il consenso da tutti i dipendenti coinvolti.

Due buone norme:

  • I documenti concernenti la candidatura (ad esempio curriculum vitae, attestati, diplomi, foto) vanno restituiti al più tardi al termine del rapporto di impiego;
  • I documenti riguardanti le qualifiche, le perizie mediche o i test attitudinali devono essere distrutti o restituiti al più tardi due anni dopo che sono stati redatti.

Da un punto di vista pratico, con il GDPR occorre garantire ai dipartimenti HR i processi e gli strumenti tecnologici adeguati per raccogliere, tracciare, gestire e aggregare in modo affidabile l’ampio volume e la varietà delle informazioni dei dipendenti.

Questo potrebbe essere un obiettivo molto impegnativo per tutte quelle aziende che gestiscono i dati del personale su sistemi diversi (cartelle sul server aziendale, file excel, word, e-mail, ecc.). In queste condizioni, anche fornire una copia al dipendente dei suoi dati, può diventare un compito arduo.

Esistono molti software HR che permettono di gestire i dati dei dipendenti provenienti da diverse fonti per centralizzarli in un’unica piattaforma, facilmente accessibile e con back-up automatici.

E tu che soluzione stai adottando?


Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR e Mail – Come spedire allegati in sicurezza?

Ad alcuni di voi potrebbe capitare di dover spesso inviare mail contenenti dati sensibili. Vi siete chiesti come comportarvi in relazione al nuovo GDPR?

Società specializzate nella esecuzione di lavori in subappalto per grandi committenti, professionisti del giornalismo, commerciali, sono tutti profili che utilizzano la mail per condividere la copia del passaporto, visti, e altri documenti contenenti dati personali.

Ricordo che “Dato personale” è qualsiasi informazione (nome, codice fiscale, immagine, voce, impronta digitale, traffico telefonico) concernente una persona fisica identificata o identificabile, anche indirettamente, oppure informazioni riguardanti una persona la cui identità è nota o può comunque essere accertata mediante informazioni supplementari.

Ho svolto qualche ricerca e devo ammettere che non sono molto soddisfatto dei risultati.

Il problema è reale, le mail possono in teoria essere “lette” attraverso ognuno dei molteplici server che attraversano. Le virgolette sono d’obbligo in quanto non si tratta certo di una persona fisica ma del pericolo che qualche software possa captare informazioni riservate.

Non dimentichiamo poi quanto sia comune inviare una mail ad un errato destinatario.

La soluzione vincente potrebbe essere criptare di default tutte le mail in modo che possano essere decriptate solo dal destinatario “certificato”. Purtroppo sembra che questa soluzione sia ancora lontana, la criptazione è un processo troppo pesante per le persone che vogliono in fondo inviare solo un messaggio.

Solo le grandi organizzazioni hanno servizi mail criptati come NHS ma una soluzione del genere non può venire in aiuto alle PMI e ai professionisti.

Un’altra soluzione potrebbe essere affidarsi a servizi mail come la svizzera ProtonMail  e la tedesca Tutanota ma spesso occorre inviare ai destinatari una password via sms per decriptare le mail.

Tutanota invia al destinatario una mail “Hai ricevuto un messaggio criptato”, devi seguire il link per leggerlo e rispondere via browser. Se desideri conservarne una copia devi esportare la mail, decisamente poco comodo anche se efficace.

Esistono anche plug-in per Gmail e Outlook come quello offerto da streak oppure da mapilab ma non ho ancora avuto modo di testarli.

A mio avviso una buona idea è utilizzare le soluzione Cloud di Microsoft Office365 e Google Gsuite: create una cartella contenente i file, configurate le impostazioni di condivisione e inviate il relativo link al destinatario.

Ancora, tutti i documenti Office permettono velocemente di impostare una password di protezione dal menu file.

Ovviamente i casi più comuni riguardano file JPEG, PNG, PDF. In questo caso consiglio di comprimerli in un file Zip o Rar e proteggerli con una password.

Mi riprometto di approfondire l’argomento e proporre ulteriori soluzioni, nel frattempo aspetto le vostre segnalazioni!


Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR – Come modificare il Curriculum Vitae

GDPR e Curriculum Vitae, in che modo occorre modificare il CV per il rilascio della autorizzazione al trattamento dei dati personali?

Se state cercando una nuova occupazione, prima di inviare Curriculum Vitae in giro leggete attentamente questo post. Per garantire il rispetto e la sicurezza della propria privacy e la conformità al GDPR bastano pochi passaggi.

Innanzitutto vi consiglio di visitare il sito internet della società a cui desiderate inviare il Curriculum Vitae, non solo per prendere informazioni utili in sede di colloquio (prodotti, mercato di riferimento ecc.) ma anche per leggere con attenzione l’informativa per il trattamento dei dati personali.

Teoricamente l’informativa dovrebbe contenere una sezione dedicata alla gestione delle risorse umane in accordo al GDPR con le seguenti informazioni:

  • Identità del Titolare e del/dei responsabili del trattamento
  • Fonte dei dati inerenti alla gestione dei Curriculum Vitae e ai colloqui di valutazione
  • Finalità del trattamento
  • Destinatari dei dati
  • Trasferimento dei dati
  • Conservazione dei dati con relativa indicazione del periodo
  • Diritti dell’interessato
  • Revoca del consenso
  • Proposizione del richiamo
  • Rifiuto al conferimento dei dati
  • Eventuali processi decisionali automatizzati

Passando al Curriculum Vitae, è indispensabile inserire l’Autorizzazione al Trattamento Dei Dati Personali, acconsentendo esplicitamente al trattamento da parte dell’organizzazione a cui si vuole inviare ricevere il documento.

Attenzione, l’unica autorizzazione valida deve essere riferita al Regolamento Europeo per la Protezione dei Dati Personali (GDPR) :

Autorizzo il trattamento dei miei dati personali ai sensi dell’art. 13 d. lgs. 30 giugno 2006 n°196 – “Codice in materia di protezione dei dati personali” e dell’art. 13 GDPR 679/16 – “Regolamento europeo sulla protezione dei dati personali”.

Inserire l’autorizzazione è molto importante siccome in sua assenza la Società che riceve il Curriculum Vitae non potrà utilizzare nessun dato in esso contenuto,  annullando l’opportunità di essere chiamati per un colloquio di lavoro.

Al pari della precedente normativa, potete inserire l’autorizzazione in calce al Curriculum Vitae, personalmente preferisco inserirla come nota a pie di pagina in modo da non compromettere la leggibilità del documento.

Ultima nota, ricordate di firmare sempre il Curriculum Vitae.

In bocca al lupo a tutti!


Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited