Tag: Rischio

Posted on

Conoscere i rischi informatici aiuta a difenderci!

Probabilmente usiamo tutti un computer, uno smartphone o un altro tipo di dispositivo per navigare online, mandare mail, lavorare, acquistare prodotti o iscriversi ai social. Tutte queste attività che svolgiamo quotidianamente sul web però nascondono delle insidie. Ed è meglio conoscere per saperle evitare, almeno quando è possibile!

Siamo abituati a sentir parlare di virus informatici e dunque ci dotiamo di antivirus per risolvere i nostri problemi. Naturalmente è la prima cosa da fare e senza antivirus a segnalare le minacce che cercano di entrare nel nostro computer tutto diventerebbe più difficile. Soprattutto in ambienti lavorativi, dove la sicurezza informatica dev’essere al primo posto, per evitare danni gravi, a volte permanenti e fughe di dati sensibili.

Ma il mondo dei virus e degli attacchi informatici è molto più vasto in realtà e anche i sistemi per difenderci possono variare. Facciamo un po’ di chiarezza:

Malware: tutto parte da qui. Con malware infatti si intende tutto ciò che è stato creato per infettare e danneggiare i nostri dispositivi. Tra i malware poi possiamo trovare

  • Ransomware: è uno degli attacchi più diffusi in realtà, ed un sistema per cui il computer o dispositivo viene bloccato e per cui bisogna pagare un riscatto per liberarsene. Fanno parte di questa tipologia di malware WannaCry, Petya e Cerber, di cui il primo, forse il più famoso, ha tenuto in ‘ostaggio’ diverse aziende.
  • Spyware: è un tipo di malware che si infiltra nel nostro dispositivo con lo scopo di spiare i dati personali. Con questo tipo di software corriamo il rischio che tutte le nostre informazioni, compreso conti bancari, vengano trafugate.
  • Worm: anche questo malware si infiltra attraverso file e altre fonti dal web e ha la caratteristica di auto replicarsi fino a prendere il possesso del dispositivo.
  • Adware: i famosi pop-up pubblicitari che compaiono di continuo sul nostro schermo. Ecco, molti di loro possono essere infetti o provocare danni al PC.
  • Phishing: anche questo malware riguarda i nostri dati. Con un raggiro infatti, hacker che fingono identità diverse riescono a carpire le nostre informazioni personali
  • Trojan; un specie di virus che si infiltra nel nostro dispositivo usando un ‘cavallo di troia’ per entrare, come mail, programmi e altre fonti che riteniamo sicure.

Questi sono le tipologie di malware più diffuse, anche se poi troviamo attacchi informatici molto più precisi e pericolosi, come quelli creati appositamente per colpire grandi aziende o istituzioni (i DDoS ad esempio). E dunque come facciamo a difenderci? Con attenzione e precauzione, come una più comune malattia. Innanzitutto munitevi di antivirus, un buon programma che abbiamo dei rilevatori anti malware potenti e che comprendano diverse tipologie di virus. Dopodiché fate sempre attenzione ai siti che visitate ed evitate di diffondere dati personali quando non serve o su siti di cui non sapete l’origine. Utilizzate connessioni sicure come le virtual private network. Che cos’è una VPN? Si tratta di un tunnel virtuale in cui gli utenti possono inserirsi per navigare senza incorrere in attacchi e pericoli informatici.

Altra buona pratica è difendere i vostri account con password forti e quando possibile utilizzate un sistema di autenticazione a due fattori per accedere ai servizi online.

Articolo in collaborazione con TechWarn 

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

Browser Isolation – Come allontanare (fisicamente) la tua società da malware e virus

La stragrande maggioranza degli attacchi informatici inizia con la navigazione web e interessa direttamente gli utenti nel corso della loro routine quotidiana.

Secondo la Gartner, oltre il 98% degli attacchi proviene dalla rete pubblica e di questi, l’80% avviene tramite browser.

Il tema è serio per tutte le aziende, soprattutto quelle che permettono ai dipendenti la navigazione libera e la consultazione delle webmail personali.

I tool attualmente utilizzati come gli anti virus, i firewall ecc., sembrano quindi non sufficienti a garantire un livello di protezione adeguato.

I dati parlano di una tendenza allarmante che vede un incremento degli attacchi tramite browser di oltre il 250% nel 2017.

La soluzione che sta prendendo ultimamente piede, adottata da molte aziende, è isolare i browser, in accordo a quanto suggerito da numerose realtà come la Gartner che raccomanda questa soluzione in quanto sembra essere la più efficace.

I browser dei terminali aziendali (e tutte le attività svolte attraverso di essi) non devono per forza essere connessi al network interno e alla infrastruttura aziendale.

Approfondiamo il tema.

Browser Isolation – Cos’è?

La Browser Isolation è l’arte di isolare fisicamente il browser dal tuo computer, isolando quindi tutti i possibili attacchi browser based come malware e ransomware.

L’obiettivo è raggiunto collocando un “vuoto d’aria” tra il browser e il pc, creando una barriera fisica che non può essere superata dai malware.

L’isolamento fisico dei browser permette alle società di eliminare una grande quantità di attacchi (sia “infiltration” che exfiltration”), migliorando con un approccio proattivo la cybersecurity.

Questo ultimo aspetto potrebbe essere molto interessante in relazione al GDPR, che come sappiamo impone al titolare dei dati un approccio proattivo al fine di tutelare la sicurezza dei dati personali.

La Browser Isolation può essere ottenuta in tanti modi abbastanza semplici come quello di usare una Virtual Machine sul tuo PC oppure accedere in remoto con un servizio cloud.

Remote Browsing – Di cosa si tratta?

Il Remote Browsing è di fatto esattamente la stessa cose della Browser Isolation, la differenze è che con il Remote Browsing non devi ospitare nessun Browser Isolation Server a casa tua, riducendo ulteriormente i rischi di attacco.

Parliamo quindi di un servizio remoto a pagamento che permette di accedere alla rete tramite un browser dedicato in cloud, come ad esempio webgap.

I rischi sono quindi “a carico” del server sul quale è installato il web browser, isolando il tuo ambiente. Gli utenti accedono al browser cloud navigando normalmente ma senza essere esposti a pericoli.

Nei prossimi aggiornamenti proverò a fornire un elenco dei remote browser e dei servizi attualmente sul mercato. Il consiglio della Gartner è quello di approcciare velocemente a queste soluzioni per ridurre significativamente il numero di attacchi.

Voi cosa ne pensate? Avete già provato una soluzione di questo tipo?

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR – Privacy, le prossime scadenze

GDPR – Il 19 Settembre entra ufficialmente in vigore il decreto legislativo 101, raccordo tra le vecchie norme nazionali in materia privacy e il Regolamento vigente, di cui abbiamo parlato qui.

Restano ancora sospesi molti aspetti come la ricognizione dei sette codici deontologici e delle autorizzazioni generali.

La strada sembra ancora in salita, analizziamo di seguito alcune delle prossime scadenze:

19 settembre 2018 – interruzione dei termini di prescrizione per la riscossione selle sanzioni oggetto di condono e decadenza autorizzazioni generali diverse da quelle oggetto di aggiornamento;

3 ottobre 2018 – termine ultimo entro cui il Garante si impegna a dare notizia delle modalità di trattazione del contenzioso pregresso;

18 dicembre 2018 – termine ultimo entro cui l’autorità giudiziaria si impegna a trasmettere alla autorità amministrativa competente gli atti dei procedimenti penali relativi ai reati divenuti illeciti amministrativi. Termine ultimo per usufruire del condono e quindi termine ultimo per effettuare il pagamento in misura ridotta delle sanzioni che al 25 maggio 2018 non erano ancora state definite.

Entro questa data il Garante verifica la compatibilità con il Gdpr dei codici deontologici, i nuovi codici sono sottoposti a consultazione pubblica per 60 giorni e poi pubblicati sulla Gazzetta Ufficiale. Sino a quel momento continuano a produrre effetti i vecchi codici

Entro questa data il Garante verifica la compatibilità con il Gdpr delle autorizzazioni generali, se necessario le aggiorna e le sottopone a consultazione pubblica. Le nuove autorizzazioni generali devono essere adottate entro 60 giorni dalla chiusura della consultazione e pubblicate sulla Gazzetta Ufficiale. Da quel momento cessano di produrre effetti le vecchie autorizzazioni generali ;

Dicembre 2018 – Presumibilmente entro questo mese si può presentare al Garante richiesta di trattazione di segnalazioni, reclami e richieste di verifica preliminare. In caso contrario, quegli atti diventano improcedibili;

16 Febbraio 2019 – Termine ultimo per effettuare il pagamento delle sanzioni non oggetto di condono;

18 Marzo 2019 – Termine ultimo entro cui le associazioni e gli altri organi rappresentativi sono chiamati a sottoporre al Garante i codici deontologici. Entro sei mesi dalla presentazione di quegli schemi va completata la procedura di approvazione. Sino a quel momento continuano a produrre effetto i vecchi codici;

17 Maggio 2019 – Fine del periodo transitorio durante il quale il Garante si è impegnato a tenere conto, nell’applicazione delle sanzioni amministrative, delle novità introdotte dal GDPR;

31 Dicembre 2019 – Ultimo giorno per accedere al registro dei trattamenti;

12 Marzo 2020 – Entro questa data il ministero della Giustizia deve adottare un decreto che, in mancanza di una legge o di un regolamento, autorizzi il trattamento dei dati personali relativi a condanne penali e a reati

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR – Pubblicato il “nuovo” Codice Privacy

GDPR, lo scorso 4 settembre è stato finalmente pubblicato in Gazzetta Ufficiale il Decreto legislativo del 10 Agosto riguardante il nuovo “codice della privacy italiano” rubricato: Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

Il nuovo codice privacy entrerà in vigore il prossimo 19 settembre e prevede 8 mesi di “ragionevolezza” del Garante nell’applicazione delle sanzioni, formalizzando un intento già promosso in passato dal Garante stesso (vedi articolo qui).

La commissione ha deciso di novellare il codice privacy esistente, nonostante il GDPR abbia introdotto un importante cambiamento di approccio, introducendo il principio di accountability. Una scelta che mira a garantire la continuità, facendo salvi per un periodo transitorio i provvedimenti del Garante, le autorizzazioni generali e i codici deontologici, oggetto di un futuro riesame.

Scelta abbastanza impopolare: il Codice Privacy è stato in passato oggetto di diversi aggiornamenti e l’ultima rivisitazione ha complicato l’interpretazione del testo.

Il nuovo Decreto Legislativo 101 del 10 agosto allinea quindi il Codice Privacy al GDPR e formalizza, in considerazione della complessità del GDPR ma sempre compatibilmente con il Regolamento, un approccio ragionevole nella applicazione delle sanzioni amministrative nei primi 8 mesi di applicabilità.

Ancora, in considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante individui modalità semplificate di implementazione del GDPR.

Attenzione a cantare vittoria, le semplificazioni potranno interessare le modalità di adeguamento ma non certo gli obblighi previsti dal GDPR, anche in considerazione del fatto che dallo scorso maggio le aziende dovrebbero aver già provveduto ad adeguarsi al Regolamento.

Esistono alcuni casi particolari, ad esempio, i dati relativi alla salute saranno oggetto di uno specifico provvedimento del Garante che con cadenza biennale sarà chiamato ad individuare le specifiche misure di garanzia e condizioni di trattamento applicabili.

Ancora, per il trattamento dati in ambio di rapporti di lavoro e di ricerca scientifica, il Garante potrà adottare delle specifiche regole deontologiche.

Le aziende possono continuare a delegare internamente specifici compiti in materia privacy (il vecchio responsabile interno del trattamento sopravvive, anche se cambia nome) e soprattutto possono scegliere come, in concreto, autorizzare il personale al trattamento dei dati, beneficiando di una certa discrezionalità nel definire il proprio modello organizzativo privacy.

Possiamo concludere che il nuovo Codice Privacy lascia di fatto aperte diverse questioni che saranno chiarite nei prossimi mesi dal Garante.

La sfida per il corretto adeguamento continua.

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR – 5 sorprendenti benefici per chi si adegua

Tutte le organizzazioni stanno investendo grandi risorse ed energie per allinearsi alle nuove disposizioni del GDPR.

La buona notizia è che chi si adegua opportunamente potrebbe ritrovarsi ad avere più di un vantaggio competitivo.

Di seguito vi evidenzio 5 sorprendenti benefici per chi si adegua.

1) Maggiore sicurezza

Il GDPR impone che l’azienda implementi un adeguato livello di sicurezza, sia a livello tecnico che organizzativo, per prevenire la perdita di dati, la perdita di informazioni oltre che operazioni non autorizzate di elaborazione dati.

Ovviamente non esiste alcuna piattaforma che tuteli completamente dalla perdita dei dati. Piuttosto occorre la dinamica combinazione di persone, processi e prodotti.

Il GDPR ha stimolato il confronto tra Management e IT al fine di definire quali dati occorre proteggere, dove risiedono e come vengono salvaguardati. Le Compagnie stanno usando il GDPR anche come leva per discutere i futuri obiettivi in termini di miglioramento della sicurezza e dei processi per assicurare la protezione dei dati.

2) Maggiore consapevolezza della sicurezza

Uno dei principi fondamentali del GDPR è rendere agli individui un maggiore controllo dei loro dati personali, come ad esempio il diritto di chiederne la cancellazione.

Prima che il GDPR diventasse “virale”, molte persone ignoravano che i loro dati sensibili avevano bisogno di protezione, in alcuni casi ignoravano addirittura che fossero raccolti. Le Compagnie, d’altra parte, avevano scarsa sensibilità rispetto alla protezione dei dati e dei diritti individuali.

Il GDPR ha sicuramente forzato le Compagnie ad aumentare il loro livello di protezione ma ha anche elevato la consapevolezza degli utenti.

E la consapevolezza che la sicurezza sia importante, è un vantaggio per tutti.

3) Procedure di sicurezza più snelle

Le Organizzazioni stanno sicuramente investendo tempo e denaro per adeguarsi al GDPR.

La buona notizia è che il lavoro compiuto per analizzare, documentare e manutenere le procedure di sicurezza, verificare l’efficacia dei programmi e risolvere tutti i problemi, porta in molti casi a snellire le procedure. L’analisi rafforzerà inoltre i processi per la valutazione e la mitigazione dei rischi.

4) Maggiore chiarezza sui data-breach

Ogni Organizzazione vittima di data breach dovrebbe informarne partner e clienti. La notifica è a volte una buona abitudine, altre volte un requisito normativo, altre un obbligo contrattuale.

Numerose aziende, negli anni, hanno celato informazioni sulla violazione dei dati che gestivano, comunicando l’avvenimento giorni, settimane o anche molti mesi dopo.

Questo è sicuramente un danno per i clienti ma anche per le Compagnie, danneggiate dalla perdita di immagine.

Il GDPR da istruzioni precise circa tempi e metodi con cui segnalare una violazione dei dati, chiarendo e uniformando lo scenario.

5) Maggiore fiducia

Tendiamo ad assumere che tutti stiano confortevolmente lavorando, facendo shopping o siano intenti in altre attività online, ma non è la regola. Gli utenti della rete sono ancora timorosi e spesso a ragion veduta.

Il GDPR è sicuramente destinato ad aumentare la fiducia degli utenti, articolando chiaramente i rischi legati alla protezione dei dati e ciò che occorre fare per tutelarsi.

La maggiore fiducia porterà ad un aumento dell’attività online con conseguente riduzione dei costi per le Compagnie e una espansione dei servizi.

In effetti, la conformità con GDPR è solo l’inizio.

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR – Organigramma Privacy e descrizione attori principali

Del ruolo del DPO, nuova figura introdotta dal vigente GDPR, abbiamo già parlato qui.

Oggi voglio approfondire il tema dell’organigramma privacy e i suoi relativi attori.

Le figure privacy chiave disciplinate dal GDPR sono il titolare (e i con-titolari), il responsabile (e sub-responsabili), il DPO e gli autorizzati (gli incaricati del vecchio dlgs 196).

IL TITOLARE

Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

Il titolare ha autonomia decisionale in merito alle modalità di trattamento dei dati ed ha i seguenti obblighi:

  • mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento
  • adottare politiche interne conformi al Regolamento
  • essere in grado di dimostrare che il trattamento è conforme al Regolamento (principio dell’accountability)
  • essere in grado di dimostrare di avere adottato misure (organizzative e tecniche) adeguate ed efficaci per la protezione dei dati personali.

IL RESPONSABILE

Il responsabile del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

E’ designato dal titolare con un contratto o con altro atto giudico che deve necessariamente disciplinare:

  • la durata, natura e finalità del trattamento
  • le categorie dei dati oggetto del trattamento
  • le categorie di interessati
  • gli obblighi e diritti del titolare
  • le misure tecniche e organizzative adeguate a consentire il rispetto delle istruzioni impartite dal titolare e del Regolamento.

Con gli stessi obblighi è consentita la nomina di sub-responsabili dedicati a specifiche attività di trattamento. È sempre il responsabile a rispondere di eventuali inadempimenti dei sub-responsabili a meno che sia dimostrabile che l’evento dannoso non gli è in alcun modo imputabile.

IL DPO

Il Data Protection Officer (DPO), altrimenti detto responsabile della protezione dei dati, è designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente all’applicazione del GDPR. Coopera con l’Autorità (attenzione ai casi in cui vada comunicato al Garante) e costituisce il punto di contatto, anche rispetto agli interessati, per le questioni connesse al trattamento dei dati personali.

Il DPO ha il compito di analizzare, valutare e disciplinare la gestione del trattamento e della salvaguardia dei dati personali all’interno di un’azienda, secondo le direttive imposte dalle normative vigenti: potrà essere un soggetto interno (dipendente o collaboratore) o esterno (società di consulenza) e dovrà possedere competenze sia in aree giuridiche che informatiche e una ampia conoscenza della normativa. Egli esegue le proprie funzioni in completa indipendenza (senza ricevere alcuna istruzione o imposizione gerarchica) e riferisce sul suo operato direttamente ai vertici aziendali, i quali, per la piena esecuzione dei suoi compiti dovranno fornire risorse adeguate.

Gli autorizzati

La figura  dell’autorizzato (art. 30 del codice privacy) non è presente in nessuna delle altre 27 legislazioni degli Stati membri dell’Unione e di fatto non è una figura autonoma prevista dal GDPR. Il Garante ha avuto non poche difficoltà nell’introdurla nella legge italiana siccome le altre DPA europee ritengono possa creare ambiguità con la figura dei responsabili.

Gli autorizzati (art. 4.1 del codice privacy) sono persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile. Si tratta di una volontaria responsabilizzazione di queste persone attraverso una specifica lettera di attribuzione di incarico che individui puntualmente l’ambito del trattamento consentito.

ORGANIGRAMMA DELLA PRIVACY

L’organigramma della privacy sarà diverso a seconda delle dimensioni della società
. Le grandi aziende, ad esempio, dotate di risorse economiche adeguate e di profili competenti potranno strutturare le proprie organizzazioni in modo tale da garantire al DPO un ufficio ad hoc ove all’interno opereranno figure esperte di normativa, informatica, risk management, legale e sicurezza aziendale principalmente incaricate del controllo di conformità al GDPR.

Nel contempo, in queste aziende, dovranno essere presenti anche strutture più operative, che si dovranno occupare della concreta realizzazione degli adempimenti normativi previsti dal GDPR.

Pensiamo ad esempio alla redazione dei moduli d’informativa alla clientela, della cura delle nomine a responsabile esterno del trattamento dei dati, la realizzazione del Privacy impact assesment etc.

Anche le aziende di medio grandi dimensioni, sono generalmente già dotate di risorse interne con competenze in risk management, legali, normative, IT, etc., anche se non specializzate in ambito data protection. Un secondo modello organizzativo che potrà quindi essere adottato in molte realtà medio/grandi si baserà su una figura di DPO indipendente, che insieme a un numero contenuto di collaboratori, nello svolgere le proprie attività, potrà avvalersi del supporto e della collaborazione dei vari uffici – compliance, legale, Sicurezza, IT, internal audit – che a diverso titolo e livello contribuiranno al pieno rispetto dei principi sanciti in ambito Privacy.

Soprattutto in una fase di implementazione iniziale del nuovo modello organizzativo, il DPO potrà avvalersi altresì del supporto costante di una società di consulenza esterna, alla quale potrà rivolgersi affinché si possa rafforzare il presidio di conformità al nuovo Regolamento.

Ancora, un ulteriore modello organizzativo potrà prevedere la nomina da parte del titolare o del responsabile di un professionista o un’organizzazione esterna in qualità di DPO.

Aspetto i vostri commenti e suggerimenti, a presto!

29 giugno : articolo aggiornato in base ai graditi suggerimenti di Simone Chiarelli.

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR e HR: per quanto tempo conservare i dati? Scacco matto in 6 mosse

GDPR e dati dei dipendenti. E’ prassi diffusa applicare il termine di dieci anni (prescritto dal Codice delle Obbligazioni per numerosi documenti amministrativi), anche per alcuni atti personali.

Ad esempio, i documenti necessari per le assicurazioni sociali o la dichiarazione di salario, per allestire o giustificare i certificati di lavoro e per fornire referenze devono essere conservati per dieci anni dopo lo scioglimento del contratto di lavoro.

Cosa cambia con il GDPR?

Il nuovo GDPR indica che i dati personali possono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti e trattati.

Pertanto, ogni azienda, società o altro tipo di ente dovrà adeguarsi a tale previsione normativa, provvedendo senza ritardo alla cancellazione o alla anonimizzazione dei dati nel momento in cui la conservazione dei dati personali non risulti ulteriormente giustificata.

Cosa cambia per le Risorse Umane?

La regola generale è eliminare i dati nel momento in cui viene meno lo scopo di raccolta degli stessi, a meno che non esistano altri motivi per la conservazione. Il consiglio è quindi di delineare un regolare processo di revisione e di pulizia dei database delle risorse umane.

Il GDPR impone alle Risorse Umane di delineare e spiegare, per ogni categoria di dati personali, il motivo e la durata del trattamento.

Per mettersi al sicuro prova a gestire ogni categoria di dati dei dipendenti con questi 6 passaggi:

  1. Svolgi un audit. Analizza in che modo sono registrate le informazioni, il motivo, la durata e la relativa motivazione;
  2. Nomina un responsabile che sia opportunamente formato;
  3. Valuta i rischi associati alle tue registrazioni. Redigi un documento da allegare al tuo registro dei rischi
  4. Proteggi i dati assicurandoti che siano oggetto di back-up e che non possano essere rubati o manomessi;
  5. Sostieni i diritti individuali. Assicurati di poter accedere, modificare o cancellare i dati se richiesto da un dipendente
  6. Svolgi esami periodici. Controlla i tuoi dati regolarmente e distruggi tutti i record che non ti servono. Se ritieni che alcuni dati debbano essere conservati più a lungo di quanto si pensi, devi ricevere il consenso da tutti i dipendenti coinvolti.

Due buone norme:

  • I documenti concernenti la candidatura (ad esempio curriculum vitae, attestati, diplomi, foto) vanno restituiti al più tardi al termine del rapporto di impiego;
  • I documenti riguardanti le qualifiche, le perizie mediche o i test attitudinali devono essere distrutti o restituiti al più tardi due anni dopo che sono stati redatti.

Da un punto di vista pratico, con il GDPR occorre garantire ai dipartimenti HR i processi e gli strumenti tecnologici adeguati per raccogliere, tracciare, gestire e aggregare in modo affidabile l’ampio volume e la varietà delle informazioni dei dipendenti.

Questo potrebbe essere un obiettivo molto impegnativo per tutte quelle aziende che gestiscono i dati del personale su sistemi diversi (cartelle sul server aziendale, file excel, word, e-mail, ecc.). In queste condizioni, anche fornire una copia al dipendente dei suoi dati, può diventare un compito arduo.

Esistono molti software HR che permettono di gestire i dati dei dipendenti provenienti da diverse fonti per centralizzarli in un’unica piattaforma, facilmente accessibile e con back-up automatici.

E tu che soluzione stai adottando?

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

PMI al via il bonus per la quotazione sotto forma di credito di imposta

Il 19 giugno è stato pubblicato il decreto attuativo che permette di presentare domanda di credito d’imposta a parziale copertura dei costi di consulenza per la quotazione in Borsa delle PMI.

Dal 1° gennaio 2018 al 31 dicembre 2020, costerà quindi meno quotarsi in borsa per le PMI che procedono alla quotazione in un mercato regolamentato o in sistemi multilaterali di negoziazione in uno Stato Ue o aderente al See.

In accordo alla legge di bilancio 2018, sarà riconosciuto sotto forma di credito di imposta il rimborso del 50% delle spese di consulenza sostenute, il tetto massimo è stato fissato in 500 mila euro e il numero minimo di società finanziabili nel triennio è stato fissato in 160.

CHI PUO’ USUFRUIRNE

In accordo alla raccomandazione 2003/361/CE, possono beneficiare della agevolazione tutte le società che, a livello di gruppo, non abbiano più di 250 dipendenti, con un bilancio che non superi 50 milioni di ricavi o 43 milioni di attivo dello stato patrimoniale e che siano in regola con provvedimenti di restituzione di aiuti o di incentivi dichiarati illegittimi.

La domanda di ammissione alla quotazione deve essere presentata dopo il 1° gennaio 2018 e l’ammissione deve essere ottenuta entro fine 2020.

QUALI COSTI SONO AMMISSIBILI

Sono ammissibili i costi sostenuti per le seguenti attività di consulenza esterna legate al processo di quotazione:

  • attività sostenute in vista del processo di quotazione e ad esso finalizzate, come l’implementazione e l’adeguamento del sistema di controllo di gestione, l’assistenza dell’impresa nella redazione del piano industriale, il supporto in tutte le fasi del percorso di quotazione nel mercato di riferimento;
  • attività fornite durante la fase di ammissione alla quotazione e finalizzate ad attestare l’idoneità della società;
  • collocamento delle azioni presso gli investitori;
  • supporto nella revisione delle informazioni finanziarie storiche o prospettiche, nella preparazione di report, e nello svolgimento della due diligence finanziaria;
  • assistenza nella redazione del documento di ammissione e del prospetto o dei documenti utilizzati per il collocamento;
  • questioni legali, fiscali e contrattualistiche strettamente inerenti alla procedura di quotazione come le attività relative alla definizione dell’offerta, la disamina del prospetto informativo o documento di ammissione o dei documenti utilizzati per il collocamento presso investitori qualificati, la due diligence legale o fiscale e gli aspetti legati al governo dell’impresa;
  • attività di comunicazione.

COME ACCEDERE

Per usufruire del credito di imposta occorre inviare domanda fra il primo ottobre dell’anno della quotazione e il 31 marzo dell’anno successivo. L’istanza andrà redatta in accordo al facsimile allegato al DM (che potete trovare su www.gazettaufficiale.it) e inviata all’indirizzo di posta elettronica certificata

dgpicpmi.div05@pec.mise.gov.it

Il ministero, entro la fine di aprile (quindi entro 30 giorni dall’ultima data disponibile) comunicherà alla PMI l’ammissione al beneficio con il relativo importo spettante, in base alle domande complessivamente presentate e ai fondi disponibili.

Il credito di imposta, che va indicato nel quadro RU della dichiarazione, si utilizza in compensazione in F24, senza limiti di importo, e non concorre a formare l’imponibile Ires e Irap.

Voi quali azioni acquisterete?

Qui potete trovare il testo integrale.

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR e Mail – Come spedire allegati in sicurezza?

Ad alcuni di voi potrebbe capitare di dover spesso inviare mail contenenti dati sensibili. Vi siete chiesti come comportarvi in relazione al nuovo GDPR?

Società specializzate nella esecuzione di lavori in subappalto per grandi committenti, professionisti del giornalismo, commerciali, sono tutti profili che utilizzano la mail per condividere la copia del passaporto, visti, e altri documenti contenenti dati personali.

Ricordo che “Dato personale” è qualsiasi informazione (nome, codice fiscale, immagine, voce, impronta digitale, traffico telefonico) concernente una persona fisica identificata o identificabile, anche indirettamente, oppure informazioni riguardanti una persona la cui identità è nota o può comunque essere accertata mediante informazioni supplementari.

Ho svolto qualche ricerca e devo ammettere che non sono molto soddisfatto dei risultati.

Il problema è reale, le mail possono in teoria essere “lette” attraverso ognuno dei molteplici server che attraversano. Le virgolette sono d’obbligo in quanto non si tratta certo di una persona fisica ma del pericolo che qualche software possa captare informazioni riservate.

Non dimentichiamo poi quanto sia comune inviare una mail ad un errato destinatario.

La soluzione vincente potrebbe essere criptare di default tutte le mail in modo che possano essere decriptate solo dal destinatario “certificato”. Purtroppo sembra che questa soluzione sia ancora lontana, la criptazione è un processo troppo pesante per le persone che vogliono in fondo inviare solo un messaggio.

Solo le grandi organizzazioni hanno servizi mail criptati come NHS ma una soluzione del genere non può venire in aiuto alle PMI e ai professionisti.

Un’altra soluzione potrebbe essere affidarsi a servizi mail come la svizzera ProtonMail  e la tedesca Tutanota ma spesso occorre inviare ai destinatari una password via sms per decriptare le mail.

Tutanota invia al destinatario una mail “Hai ricevuto un messaggio criptato”, devi seguire il link per leggerlo e rispondere via browser. Se desideri conservarne una copia devi esportare la mail, decisamente poco comodo anche se efficace.

Esistono anche plug-in per Gmail e Outlook come quello offerto da streak oppure da mapilab ma non ho ancora avuto modo di testarli.

A mio avviso una buona idea è utilizzare le soluzione Cloud di Microsoft Office365 e Google Gsuite: create una cartella contenente i file, configurate le impostazioni di condivisione e inviate il relativo link al destinatario.

Ancora, tutti i documenti Office permettono velocemente di impostare una password di protezione dal menu file.

Ovviamente i casi più comuni riguardano file JPEG, PNG, PDF. In questo caso consiglio di comprimerli in un file Zip o Rar e proteggerli con una password.

Mi riprometto di approfondire l’argomento e proporre ulteriori soluzioni, nel frattempo aspetto le vostre segnalazioni!

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime

Posted on

GDPR – Esempi free di Registro dei Trattamenti

Il nuovo regolamento sulla Privacy, GDPR, introduce il Registro dei Trattamenti come strumento per tenere sotto controllo le operazioni di trattamento dei dati che vengono effettuate all’interno delle Organizzazioni.

Sebbene non obbligatorio per le aziende e gli enti con meno di 250 dipendenti, a mio avviso è SEMPRE opportuno utilizzare il Registro dei Trattamenti come valido strumento per gestire non solo i dati collezionati ma anche i diritti degli interessati.

La sua compilazione offre un momento di ricognizione, la radiografia del patrimonio informativo e il motivo per cui si trattano determinati dati. L’occasione per identificare il superfluo e disfarsene.

In rete sono disponibili diverse risorse gratuite:

REGISTRO SEMPLIFICATO

Probabilmente il migliore strumento con cui partire per prendere confidenza con il Registro dei Trattamenti e strutturare in seguito opportunamente il Registro Ufficiale.

Si può scaricare qui, è in lingua italiana e comprende due schede: un foglio nel quale inserire i dati della Organizzazione e il Registro dei Trattamenti.

La scheda Registro contiene i seguenti campi:

  • Trattamento: il tipo di trattamento
  • Dipartimento: unità responsabile (es. marketing)
  • Finalità: finalità del trattamento
  • Tipi di dati: categorie di dati trattati
  • Categoria degli interessati: classificazione degli interessati
  • Categoria dei destinatari: classificazione di chi è destinatario dei dati
  • Consenso/Informativa/Termini ultimi di conservazione: data di inizio e di fine dei consensi e conservazione
  • Misure di sicurezza: misure procedurali e tecnologiche adottate per la protezione dei dati personali
  • Contitolare del trattamento
  • Rappresentante del trattamento
  • Responsabile del trattamento
  • Garanzie di trasferimento: in caso di trasferimento dei dati verso paesi esteri o organizzazioni internazionali è necessario elencare i documenti che salvaguardano e garantiscono dati e processo

MODELLO CNIL

Ne abbiamo già parlato precedentemente, l’Autority francese ha rilasciato un comodissimo strumento sempre in formato Excel, in lingua francese e scaricabile cliccando qui.

Contiene per altro la lista dei paesi aderenti e non aderenti, ed è diviso in tre schede:

  • Lista dei trattamenti
  • Modello scheda trattamento

Trattasi di un buon prodotto che però vi consiglio di integrare con piccoli accorgimenti come il collegamento ipertestuale tra la lista dei trattamenti e le rispettive schede (oltre che tradurlo in Italiano/Inglese)

MODELLO CPP

Anche l’Autority belga ha prodotto un utile registro dei trattamenti in lingua inglese e scaricabile gratuitamente qui.

Il documento in formato excel è diviso in 5 schede:

  • Identificazione dell’organizzazione che gestisce il registro
  • Il registro corrente
  • Elenchi di valori che vengono in aiuto per completare il registro
  • Manuale d’uso
  • Mappatura del registro

Spero vi sia utile, a presto!

Grazie per aver letto l’articolo! Se sei interessato al GDPR e alle realtà industriali che progettano è producono su commessa, ti consiglio i miei testi “Il GDPR è un gioco da ragazzi” e “Engineering To Order” . I testi contengono una grande quantità di modelli e approfondimenti che sono sicuro ti saranno utili.

Li puoi trovare su Amazon e sono disponibili per Kindle Unlimited 

Registrati ad Amazon Business (e ottieni un codice sconto del 20%) e Amazon Prime