L'accesso al questionario è riservato agli utenti registrati.
	Contattaci per compilare il questionario

Istruzioni

Compila il questionario in tutte le sezioni (ABSC 1-2-3-4-5-8-10-13).
Spunta le voci corrispondenti alle misure adottate ed inserisci la descrizione
Invia il modulo

I campi contrassegnati con un asterisco rosso * sono obbligatori

Conformità al Regolamento UE 2016/679

Le esigenze che hanno portato a definire le norme contenute nel GDPR sono legate essenzialmente agli sviluppi tecnologici, ai nuovi modelli di crescita economica, alla necessità di tutelare la privacy dei cittadini.

L'adeguamento alla normativa europea, per quanto possa apparire complesso ed impegnativo, è in realta una vera e propria opportunità per le aziende, messe in condizione di lavorare in maniera più sicura e con procedure e tempi di lavoro ottimizzati.

Passi fondamentali

- verifica e adeguamento delle informative
- nomina dei responsabili interni ed esterni del trattamento dei dati 
- nomina della figura del DPO. (ove necessario)
- redazione del registro dei trattamenti.
- adottare una procedura di privacy a garanzia di puntuale verifica di tutti i trattamenti effettuati
- adottare misure per prevenire, ostacolare e gestire i DataBreach.
- conoscere e comprendere i diritti del proprietario del dato: accesso, modifica, gestione, portabilità., cancellazione.

(1) info su siti istituzionali

• Sito Garante della Privacy
• Sito Commissione Europea
• Sito Data Protecion Commissione Europea

(2) Individuare i dati trattati dall’azienda

Si intendono tutti i dati di cui è in possesso l’azienda, riferiti a persone fisiche, che ne permettono l'identificazione. Possono venire acquisiti attraverso il sito web o altre attività di raccolta.
E' necessario individuare i fini per cui vengono utilizzati, il livello di sicurezza con cui vengono gestiti ed a chi sono comunicati.

(3) La gestione dei trattamenti

La gestione del trattamento riguarda le modalità: l'archivizione dei dati, il loro inserimento in registri o in database di applicazioni (es. gestionali online o offline.
Il GDPR impone la tenuta di un registro aggiornato dei trattamenti per tutti i dati raccolti. Il garante della privacy raccomanda questa procedura non solo per controlli di supervisione da parte delle autorità competenti ma anche per eventuale valutazione ed analisi del rischio.

Un esempio di dati ed attività la cui gestione rappresenta un trattamento dati:

– anagrafiche clienti

– anagrafiche dipendenti

– anagrafiche fornitori

– videosorveglianza

– campagne commerciali e di marketing

– gestione di un sito web

 (4) La gestione dei consensi

Tutti i dati potranno essere trattati solo se c’è stato un esplicito consenso, valido solo se liberamente fornito.
Non sarà quindi valido il consenso fornito assieme ad altre condizioni, come ad esempio quelle contrattuali. Si rende necessario richiedere il consenso per ogni scopo diverso per cui i dati sono utilizzati e si dovrà poter dimostrare di averlo ricevuto.

(5) La gestione dei rischi e delle misure necessarie di sicurezza

Oltre ad un’analisi e valutazione dei rischi, bisogna mettere in atto misure tali affinché tutti i dati raccolti siano messi in sicurezza. Questo può essere fatto attraverso strumenti o software automatici .

(6) L’analisi dei rischi con relativa DPIA e pianificazione Audit periodiche obbligatorie

La DPIA (Data Protection Impact Assessment) è una valutazione d’impatto sulla protezione dei dati, ed anche un procedimento che deve essere messo in atto dal titolare del trattamento dei dati che deve consultare l’autorità di controllo, in caso le misure tecniche e organizzative non siano ritenute sufficienti.
L’Audit Privacy invece è una valutazione dei processi aziendali sulla conservazione del trattamento dei dati. Durante l’audit vengono svolte verifiche che evidenziano o meno alcuni processi errati e le verifiche devono essere in capo ad una persona esterna all’azienda.

(7) La gestione dell’organigramma delle figure preposte al Trattamento dei Dati (Titolari, Responsabili, DPO, Soggetti Autorizzati)

Bisognerà attraverso lettere di incarico specificare le mansioni di tutti i dipendenti, individuare i trattamenti a cui ognuno è autorizzato e delineare le procedure organizzative attraverso cui tutto viene svolto. Inoltre va nominato un DPO o responsabile del trattamento dei dati con il compito di assistere e vigilare internamente sul trattamento dei dati, interfacciandosi all’esterno in via diretta con tutte le autorità di controllo.

Il DPO:

    lavora autonomamente senza ricevere istruzioni (art. 38, par. 3)
    deve poter agire in maniera indipendente
    riferisce sempre al vertice gerarchico (art. 38, par. 3)

(8) La segnalazione degli eventuali “DataBreach.” al Garante della Privacy.

Tutti i dati raccolti e trattati dalle aziende possono essere a rischio in caso di attacco informatico oppure accessi non in regola ai sistemi aziendali od ancora per distruzione di dati dovuti ad incidenti o altri eventi che ne comportino comunque la perdita o fuga.  Tutto ciò può comportare un pericolo per la privacy di tutti gli utenti a cui si riferiscono i dati. “Per questo motivo, anche sulla base della normativa europea, il Garante per la protezione dei dati personali ha adottato una serie di provvedimenti che introducono in determinati settori l’obbligo di comunicare eventuali violazioni di dati personali (data breach) all’Autorità stessa.”

Disponiamo di strumenti che agevolano la completa gestione delle attività, semplificando il lavoro ed ottimizzando i processi per adempiere alla normativa.
Contattaci subito per avere tutte le informazioni sugli strumenti da utilizzare per la sicurezza e per la produzione di documenti per adempiere alla norma.

Con l’entrata in vigore del nuovo regolamento sulla privacy 2016/679 (General Data Protection Regulation) si impongono alle imprese diversi adempimenti. Il termine ultimo per allinearsi è stato il 25 maggio 2018. Il regolamento europeo per la protezione dei dati personali impone al titolare del trattamento, l’adozione di misure tecniche ed organizzative adeguate al fine di tutelare i dati dai trattamenti illeciti. L’art.25, in particolare, introduce il principio di privacy by design e privacy by default, un approccio concettuale innovativo che impone alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti di tutela dei dati personali, per essere “compliance” con il GDPR.

Alla base del concetto di “Privacy by design”, si basa un sistema atto a prevenire e non a correggere. Si deve attuare tutti quei comportamenti in fase di progettazione del sistema che vadano a garantire la riservatezza. Per questo si parla di privacy in corporata nel progetto e di privacy come impostazione di default. Il tutto con la massima funzionalità, in materia da rispettare tutte le esigenze (rifiutando le false dicotomie quali più privacy uguale meno sicurezza).

Il “Privacy by design” è  un  concetto proveniente dalla scuola americana e dal Canada, adottato per la prima volta nel corso della 32° Conferenza mondiale dei garanti della privacy. La definizione fu coniata da Ann Cavoukian, Privacy Commissioner dell’Ontario (Canada). I principi di riferimento sono: sicurezza durante tutto il ciclo del prodotto o servizio e  trasparenza  e centralità dell’utente.

La distinzione definitiva che viene fatta tra “privacy by design” e “privacy by default” è che con il concetto di privacy by design si intende “la necessità di tutelare il dato sin dalla progettazione dei sistemi informatici che ne prevedono l’utilizzo”. Con la locuzione privacy by default si intende “la tutela della vita privata per impostazione predefinita”.

Il sistema di tutela dei dati personali deve porre al centro dell’attenzione  l’utente, in tal modo obbligando ad una tutela effettiva da un punto di vista sostanziale, non solo formale, cioè non è sufficiente la progettazione del sistema che sia conforme alla norma se poi l’utente non è tutelato. Il tutto è previsto e regolamentato dagli art. 25, 75, 76 del regolamento sopra citato.

Una menzione particolare im ambito GDPR, anche da un punto di vista tecnologico, la merita la PIA (Privacy Impact Analysis), la valutazione d'impatto sulla protezione dei dati personali, un processo codificato e strutturato in fasi che è parte integrante del modello Privacy by Design. Uno strumento utile affinchè le potenziali criticità siano identificate nelle fasi iniziali del progetto. Serve ad un’organizzazione per vedere i benefici attesi; per effettuare domande mirate di screening; per dimensionare le risorse; per identificare e ridurre il rischio; per estrapolare descrizione dei flussi di informazioni e coinvolgimento dei partecipanti; per l’identificazione dei rischi; per l’individuazione delle soluzioni e delle misure. Dunque vi è l’approvazione delle decisioni e la registrazione dei risultati ad integrazione dei risultati del PIA nel piano di processo.

La normativa è complessa, si tratta di intervenire a livello di tecnologie, di processi e di risorse umane (nomina di ruoli), pertanto tutte le imprese dovranno prendere coscienza e ove necessario avvalersi di esperti.

(Fonte: Federica Chiappetta/Sentieri Digitali)

1    MISURE DI SICUREZZA ORGANIZZATIVE PREVISTE PER TUTTE LE CATEGORIE DI DATI PERSONALI

fornire indicazioni agli incaricati e responsabili sul trattamento dei dati; questi ultimi dovranno essere sempre esatti ed aggiornati, raccolti e registrati per scopi espliciti, legittimi ed in funzione dei compiti propri dei servizi, oltrechè nei limiti previsti dalla normativa

fornire indicazioni comportamentali agli incaricati per installare/scaricare software non testato in precedenza ed autorizzato

fornire indicazioni comportamentali agli incaricati per non lasciare incustodita la postazione di lavoro (es. blocco computer/porta ufficio/password screensaver)

fornire indicazioni comportamentali agli incaricati di non avvalersi di supporti removibili in mancanza di autorizzazione, assicurando poi, in presenza di questa, comunque una adeguata custodia

fornire percorsi formativi per gli incaricati e responsabili volti ad assicurare istruzione adeguata e a prevenire eventi legati al loro comportamento (sottrazione di credenziali di accesso, carenza di consapevolezza, disattenzione o incuruia, comportamenti sleali o fraudolenti, errori materiali)

fornire procedure da seguire, volte a limitare il danno, in caso di eventi distruttivi, naturali o artificiali, dolosi, accidentali o dovuti ad incuria

fornire procedure per consentire il trattamento dei dati solo in presenza di consenso informato (ove necessario) e per dare risposte adeguate agli interessati per l'esercizio del loro diritto di accesso, rettifica, cancellazione, o limitazione ed opposizione al trattamento, oltre al diritto di portabilità dei dati

fornire procedure da seguire volte a limitare il danno in caso di smarrimento/furto di strumenti contenenti dati

fornire procedure da seguire volte a limitare il danno in caso di eventi distruttivi, naturali o artificiali

fornire procedure da seguire volte a limitare il danno in caso di guasto a sistemi complementari (impianto elettrico, climatizzazione)

fornire la modalità comportamentale corretta in caso di data breach accertato

presenza di personale (reception) volto a verificare l'ingresso agli uffici a soggetti autorizzati

i profili di autorizzazione per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari alle operazioni di trattamento. Periodicamente e comunque annualmente, viene verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione

esistenza di una procedura di cancellazione dei dati sensibili, a fronte di dismissione di apparecchiature o su richiesta da parte deldiretto interessato

esistenza di una procedura di disabilitazione qualora all'incaricato fossero revocati i diritti di accesso al trattamento

presenza di un inventario di tutte le apparecchiature elettroniche fisiche e virtuali, presenti in azienda ed indicanti gli owner di riferimento. (Inventario aggiuntivo ruispetto al contenuto del registro cespiti)

esistenza di un inventario del software (sistema operativo, servizi ed applicazioni)

esistenza di policy per l'accesso da remoto

esistenza di una procedura formale per il backup dei dati

mantenimento di documentazione aggiornata indicante la struttura delle banche dati e dei sistemi informativi che li ospitano (accountability)

nomina di almeno un responsabile dei sistemi informatici

presenza di polizza assicurativa a tutela dei rischi informatici

2        MISURE DI SICUREZZA TECNICHE PREVISTE PER TUTTE LE CATEGORIE DI DATI PERSONALI
       

MISURE MINIME

assegnazione di credenziali di autenticazione composte da codice identificativo e password

previsione di complessità delle password (minimo 8 caratteri alfanumerici modificabili almeno ogni 3 mesi)

disattivazione delle crednziali di autenticazione in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali o dopo 6 mesi di mancato utilizzo

installazione di antivirus sulle postazioni di lavoro e/o server, costantemente aggiornati almeno settimanalmente

installazione di programmi antispam per prevenire la diffusione illecita di email potenzialmente infette per ridurre il rischio della diffusione dei virus informatici o di software malevoli

sistemi autorizzatori differenziati per ciascun incaricato o per categorie di classi omogenee

aggiornamento periodico delle patch volte a sanare le vulnerabilità del sistema operativo e delle varie applicazioni, rilasciate dalle case produttrici

installazione di sistemi firewall/IPS (policy di filtraggio degli accessi e monitoring delle comunicazioni nei limiti di legge)

MISURE STANDARD

pseudonimizzazione e cifratura dei dati personali

capacità di assicurare su base permanente, la riservatezza, integrità, disponibilità, resilienza dei sistemi utilizzati (capacità di adattamento al cambiamento) e dei servizi del trattamento

capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente (fisico, tecnico)

presenza di procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche ed organizzative

adozione di idonea procedura di contrasto al data breach

MISURE AVANZATE

prodcedure per testare, verificare, valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento

prove di vulnerability assessment volte ad individuare tutte le possibili criticità del sistema informatico

presenza di impianto di videosorveglianza in grado di verificare gli accessi ai locali dove viene effettuato il trattamento

forme di controllo per l'accesso ai locali dove sono conservati i dati, consentendolo solo al personale specificamente autorizzato

modalità di conservazione dei dati sensibili in contenitori muniti di serratura, in modo tale da risultare archiviati separatamente rispetto ad altri dati

conservazione delle copie di backup in armnadi blindati ed ignifughi oppure in luogo sicuro e/o diverso da quello dove sono custodite le banche dati

identificare modalità di distruzione dei dati nel rispetto dei tempi indicati dal legislatore o da accordi contrattuali

esistenza di backup

esistenza di un piano di disaster recovery

esistenza di sistema di logging centralizzato a monitoraggio degli accessi ai dati e che non può essere modificato da intervento umano

i log di accesso sono conservati per almento 6 mesi

La I.C.O. (Information Commissioner’s Office),
autorità di controllo con sede nel Regno Unito,
ha proposto un percorso di avvicinamento e comprensione alla normativa,
basato su 12 punti:

1. consapevolezza
2. informazioni in vostro possesso
3. informative sulla Privacy
4. verifica dei diritti individuali
5. richieste di accesso
6. base normativa
7. consenso
8. minori
9. violazioni dei dati
10. valutazioni d’impatto
11. responsabili
12. internazionalizzazione

1. Consapevolezza
Consapevolezza significa accertarsi che le persone in posizioni di comando e in ruoli chiave dell'organizzazione siano consapevoli dell’aggiornamento contenuto nel General Data Protection Regulation. Esse hanno il dovere di confrontarsi con l’impatto che il cambiamento avrà sulle attività quotidiane e di individuare quelle aree che potrebbero presentare problemi di adeguamento alla nuova normativa sulla protezione dei dati personali. L'allineamento al GDPR potrebbe avere implicazioni significative in termini di risorse da allocare, specialmente per le organizzazioni grandi o complesse e rimandare all'ultimo minuto renderebbe probabilmente tutto più complicato.

2. Informazioni
Il GDPR comporta l'obbligo di tenere traccia delle attività di trattamento dati e adegua la tutela dei diritti al mondo connesso in rete. Occorre quindi documentare i dati personali di cui siamo in possesso, cosa abbiamo, da dove arrivano e con chi li condividiamo. Ad esempio, se vi accorgete di essere in possesso di dati incorretti che avete condiviso con un'altra organizzazione, dovrete comunicarlo a quest'ultima in modo tale che essa possa correggere i propri registri. E senza sapere quali sono i dati personali di cui siete in possesso, da dove arrivano e con chi li avete condivisi non sarete in grado di farlo. Per questo dovreste tenerne accurata traccia e magari organizzare un audit dei dati a livello aziendale o in alcune specifiche aree di business.
Così facendo provvederete anche ad adeguarvi al principio di responsabilità contenuto nel regolamento UE 2016/679 sulla privacy, principio che obbliga le organizzazioni a poter dimostrare come rispettano le regole sulla protezione dei dati implementando opportune politiche e procedure.

3. Informative
Ogni azienda dovrebbe sicuramente rivedere le proprie informative e predisporre un piano per implementare da subito gli aggiornamenti richiesti dal General Data Protection Regulation. Quando vi trovate a raccogliere dati personali, dovete fornire alle persone alcune informazioni come la vostra identità e su come intendete usare i suddetti dati. Questo avviene solitamente attraverso una cosiddetta informativa sulla privacy. Rispetto alla normativa italiana, il Regolamento Europeo obbligherà a fornire alle persone delle informazioni aggiuntive, quali ad esempio la base normativa che adottate per il trattamento dei dati e il periodo di tempo per cui li conserverete, oltre a ricordare loro che potranno sempre rivolgersi all'ICO qualora ritengano che le informazioni non siano state trattate correttamente. Oltre a definire i contenuti dell'informativa, il General Data Protection Regulation ci obbliga ad utilizzare un linguaggio chiaro, conciso e semplice da comprendere.

4. Verifica dei diritti individuali
Per chiunque tratta dati personali è fondamentale accertarsi che tutti i diritti della persona siano rispettati. Tra i cosiddetti diritti individuali, infatti, il General Data Protection Regulation include i seguenti:

    il diritto a essere informati;
    il diritto all'accesso;
    il diritto alla correzione;
    il diritto alla cancellazione;
    il diritto alla limitazione del trattamento;
    il diritto alla portabilità dei dati;
    il diritto all'obiezione;
    il diritto a non essere oggetto di scelte automatizzate, come la profilazione.
Il passaggio agli standard del nuovo Regolamento Europeo dovrebbe essere relativamente semplice. È sempre il momento giusto per rivedere le vostre procedure e verificare ad esempio come vi comportereste nel caso in cui qualcuno chieda - ad esempio - la cancellazione dei propri dati personali da voi raccolti. I vostri sistemi sarebbero in grado di trovare e cancellare facilmente questi dati? E chi sarebbe il responsabile in merito?

5. Le richieste di accesso
Per adeguarsi al General Data Protection Officer sarà opportuno aggiornare le procedure e pianificare come gestire le richieste di accesso ai dati nel rispetto della normativa. Il tempo massimo per soddisfarle passerà dagli attuali 40 a un massimo di 30 giorni. Potrete rifiutarvi oppure chiedere un compenso in caso di richieste che siano manifestamente infondate o eccessive. Nel caso rifiutaste, dovrete comunicare alla persona il motivo del rifiuto e ricordargli che comunque ha diritto a rivolgersi all'autorità di supervisione. Tutto ciò andrà fatto al più presto, senza causare ritardi e in ogni caso entro il termine del mese.
Se la vostra organizzazione gestisce abitualmente un numero elevato di richieste di accesso, attrezzatevi da un punto di vista logistico in modo da poter rispondere più rapidamente a tali richieste. Sarebbe opportuno valutare se sia fattibile o comunque preferibile sviluppare dei sistemi che permettano ai soggetti di accedere alle loro informazioni online, in modo semplice e autonomo.

6. La base normativa
Secondo il General Data Protection Regulation 16/679 ogni organizzazione deve necessariamente identificare le basi su cui fondare la raccolta e il trattamento dei dati, documentandola e aggiornando la comunicazione in modo da esplicitarla. In passato molte aziende non hanno dato grande peso a questo aspetto ma con l'introduzione del GDPR il passaggio è diventato necessario perché alcuni dei diritti delle persone variano a seconda della base normativa di riferimento usata per trattare i loro dati. L'esempio più lampante è che le persone godranno di diritti più efficaci nel caso in cui richiedano la cancellazione dei loro dati quando questi sono raccolti e trattati sulla base normativa del consenso. La nuova normativa, inoltre, amplia seppur leggermente anche la possibilità di scegliere di trattare i dati di un interessato basandosi sul legittimo interesse.
La base normativa che adottate per il trattamento dei dati personali andrà esplicitata non solo nell'informativa sulla privacy ma anche qualora riceviate una richiesta di accesso da parte di un soggetto. Dal 25 maggio 2018 deve essere possibile possibile verificare le tipologie di trattamento che effettuate e identificare la base normativa che seguite, la quale dovrà anche essere documentata per un corretto adeguamento ai criteri di responsabilità illustrati nel GDPR.

7. Il consenso
Per ogni organizzazione è sicuramente necessario verificare le modalità con cui viene richiesto, raccolto e gestito il consenso al trattamento dei dati personali. Secondo gli standard del Regolamento UE 16/679 il consenso deve essere libero, specifico, informato e inequivocabile. Questo significa che dovrà sempre sussistere una scelta deliberata (opt-in), senza caselle pre-spuntate o assenza di scelta. Il consenso, inoltre, deve essere sempre separato da istanze riguardanti termini e condizioni e dovrete permettere ai soggetti di verificarlo ed eventualmente revocarlo in modalità semplici. Una raccomandazione che vale in egual misura per pubblica amministrazione e impiegati pubblici.
Ovviamente tutto questo non significa che sarà obbligatorio richiedere ex-novo tutti i consensi già ottenuti ma, se basate il vostro trattamento dati sul consenso dei soggetti, sarà opportuno assicurarsi che tutto sia conforme agli standard del GDPR. Se questi principi di libertà, specificità, chiarezza e accesso non sono pienamente rispettati, allora dovrete cambiare i meccanismi con cui ottenete il consenso e ricercarlo in modo che sia adeguato al nuovo Regolamento Europeo.

8. I minori
La prima domanda da porsi è: nelle mie attività di trattamento dei dati sono coinvolti dei minorenni? Per la prima volta, la normativa introduce una tutela speciale dei dati personali relativi ai bambini con riferimento in particolare ai social network e al commercio elettronico. Se la vostra organizzazione fornisce servizi online a minori di 16 anni e vi basate sul consenso per raccogliere informazioni che li riguardano, allora avrete probabilmente bisogno del consenso di un genitore o di un tutore per trattare i loro dati in modo legale.
Ricordate che secondo il nuovo Regolamento Europeo il consenso deve essere sempre verificabile e che, nel raccogliere i dati dei minori, l'informativa dovrà essere scritta in un linguaggio accessibile ai bambini.

9. Le violazioni dei dati
Tutte le organizzazioni che trattano dati personali hanno il dovere di accertarsi di aver implementato le corrette procedure per identificare, riportare e indagare le eventuali violazioni. Il General Data Protection Regulation 16/679 introduce, infatti, l'obbligo per tutte di notificare all'ICO le violazioni che mettono a rischio i diritti e le libertà individuali in casi in cui possano scaturirne discriminazione, danni alla reputazione, perdite finanziarie o di segretezza, o qualunque altro danno significativo a livello sociale o economico. Nei casi di rischio più elevati, andranno anche avvisati tutti i soggetti che ne sono coinvolti direttamente.
Cosa significa tutto questo per un'azienda, un ente, chiunque tratti dati personali? Significa implementare apposite procedure per poter innanzitutto identificare e poi riportare e indagare una possibile violazione di dati personali. Dovrete verificare che tipo di dati effettivamente avete in vostro possesso e come prevenire ed eventualmente agire nel caso si verifichi una violazione. Le organizzazioni più grandi dovranno sviluppare politiche e procedure molto strutturate per far fronte a violazioni riguardanti i dati: sono infatti previste pesanti sanzioni sia in caso di violazioni che in caso di mancata denuncia delle stesse.

10. Le valutazioni d’impatto
Il GDPR 2016/679 introduce come requisito legale la privacy pianificata definendola come protezione dei dati fin dalla progettazione e protezione per impostazione predefinita. Effettuare valutazioni dell'impatto sulla privacy - la cosiddetta PIA (Privacy Impact Assestment) - è sempre stata una buona norma da adottare in ogni organizzazione ma con il General Data Protection Regulation in alcuni casi diventa addirittura obbligatorio valutare l'impatto della protezione dei dati cui il legislatore si riferisce con la definizione di DPIA (Data Protection Impact Assessment).
Diventa necessaria una DPIA qualora il trattamento dei dati possa concretamente rappresentare un elevato grado di rischio per i soggetti. Ad esempio:

    se si impiega una nuova tecnologia;
    quando un'operazione di profilazione possa interessare i soggetti in modo significativo;
    qualora via sia un trattamento su larga scala di categorie speciali di dati.

Dovreste quindi valutare se vi trovate nelle condizioni per cui sia necessario avviare un Data Protection Impact Assessment. Chi se ne occuperà? Chi vi sarà coinvolto? Sarà un processo condotto in locale o a livello centralizzato? Quando la DPIA indica un rischio rispetto al trattamento dei dati e l’organizzazione non è in grado di affrontare il rischio in modo corretto, allora è consigliabile consultare l’autorità garante per verificare che le procedure di trattamento risultino adeguate alla normativa comunitaria sulla privacy.
Proprio per questo l’autorità garante europea e il Gruppo di Lavoro Articolo 29 hanno prodotto una guida per capire come implementare la PIA all'interno dell’organizzazione.

11. I responsabili
Questi stessi incaricati dovranno innanzitutto verificare in modo puntuale che questo ruolo si integri nella governance e nella struttura aziendale. Da verificare, poi, con attenzione anche l'obbligatorietà della nomina formale di un DPO - il Data Protection Officer - secondo quanto previsto dal GDPR. In ogni caso sarà fondamentale che qualcuno all'interno dell'organizzazione – oppure che un consulente esterno per la protezione dati – sia incaricato della responsabilità sull'adeguamento della protezione dei dati alla nuova normativa europea in vigore dal 25 maggio 2018, e che abbia autorità, competenza e supporto per svolgere tale ruolo in modo efficace.

12. L'internazionalizzazione
Le organizzazioni che operano in più di uno stato membro dell'Unione Europea sono chiamate a individuare l'autorità guida ("lead authority") di supervisione alla protezione dei dati. L’autorità va ricercata nello stato all'interno della UE in cui risiedono la sede principale e l’amministrazione dell’organizzazione oppure in cui si prendono decisioni in merito ai dati trattati. Il GDPR prevede infatti che se l’organizzazione effettua un trattamento di dati trans-frontaliero allora è opportuno individuare la località in cui avvengono i principali processi decisionali e, di conseguenza, l’autorità guida di supervisione. Sono coinvolte le organizzazioni che hanno sedi in più Paesi della UE o una singola sede in un Paese UE ma in cui l’attività di trattamento dati riguarda direttamente soggetti risiedenti in altri stati dell'Unione.

(fonti: ico.org.uk - www.privacylab.it)

25 maggio 2018

Da oggi ha efficacia il Gdpr (general data protection regulation), il regolamento sulla protezione dati che si applicherà a tutte le informazioni elaborate in Europa o da aziende insediate nella Ue. Molti se ne saranno accorti negli ultimi giorni, aprendo una casella di posta elettronica intasata da email di aziende che ci tengono a far sapere di «aver aggiornato le proprie policy». Vediamo alcune delle principali novità.

Addio a informative chilometriche e policy scritte in un «burocratese» comprensibile solo ai giuristi. Quando un'azienda cerca di accedere a dati personali, deve chiedere il consenso con «un linguaggio semplice e chiaro» (articolo 7), oltre a spiegare bene perché e a quale fine utilizzerà alcune informazioni (articolo 13). Altro criterio che va considerato è il «periodo di conservazione»: per quanto tempo si custodiranno i dati, fornendo all'utente un ulteriore elemento di valutazione per cedere o meno informazioni a proprio riguardo. I vincoli più stretti costringeranno le aziende «a fare autoanalisi e chiedere solo quello che gli serve» mentre «gli utenti avranno accesso a più dettagli - all'interno di una richiesta chiara e non “diluita” in contratti lunghi e noiosi da leggere».

Le nuove regole si accompagnano a nuovi diritti. Fra i più rilevanti ci sono il diritto di accesso (articolo 15: il cittadino deve poter sapere subito come e perché stanno trattando i suoi dati), il diritto di rettifica (articolo 16: «la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo»), diritto di oblio (articolo 17: l'utente può far cancellare i dati in suo proposito, ad esempio se non servono più o sono stati prelevati in maniera illecita) e il diritto alla portabilità dei dati (articolo 20): l'utente può ricevere in forma strutturata tutte le informazioni che lo riguardano e trasmetterle a un altro titolare, senza impedimenti di nessuna natura. Per citare un caso concreto, da oggi si potrebbero tranquillamente scaricare tutti i propri dati da Facebook e importarli su un social network rivale.

Altra importante novità del GDPR è la creazione di una figura ad hoc: il responsabile della protezione dati (articolo 37), definizione in italiano del cosiddetto data protection officer. Nel concreto si parla di un professionista chiamato a sorvegliare sull'applicazione esatta del regolamento, cooperando con l'autorità di controllo. Può essere interno o esterno alla società, ma in entrambi i casi deve garantire l'assenza di conflitti di interessi con il suo ruolo.

Che cosa succede se un cyber criminale cioè un soggetto esterno entra in possesso per vie informatiche di dati custoditi da un'altra azienda. In precedenza, le società potevano prendersi tutto il tempo necessario per comunicare la violazione. Ora devono farlo entro un massimo di 72 a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. In altre parole, non potrebbero più ripetersi casi come quello di Cambridge Analytica, l'azienda di marketing elettorale entrata in possesso di profili di utenti Facebook per sponsorizzare la campagna elettorale di Donald Trump. La violazione risale al 2015. Il caso è esploso nel 2018, tre anni dopo. L’interessato può, inoltre, avviare azioni collettive contro l’uso di propri dati. Secondo l’articolo 80, l’utente ha il diritto di dare mandato a un organismo, un'organizzazione o un'associazione senza scopo di lucro, che siano debitamente costituiti secondo il diritto di uno Stato membro in modo da proporre per suo conto e di esercitare per suo conto i reclami.

Cosa porterà il Gdpr alle aziende. Aziende come Google e Facebook stanno spendendo milioni di dollari per mettersi in regola con il GDPR. Una spesa enorme, che però incide in minima parte sulle loro finanze, dato che stiamo parlando di due tra le società più grandi del mondo. Ma le piccole imprese? Molte di loro dovranno chiudere, perché non hanno le possibilità economiche di Google e Facebook ovviamente. Stiamo parlando di piccole compagnie di telefonia, piattaforme di giochi online e modesti social network, che non possono permettersi di assumere altre persone e che hanno preso la decisione di chiudere la loro attività. Alcuni, probabilmente, limiteranno gli accessi alle loro piattaforme, escludendo gli abitanti dell’Unione Europea.

Insomma, sembra che questo GDPR non risparmierà nessuno. A essere alti non sono solo i costi di attuazione, ma anche le multe se dovessero verificarsi eventuali violazioni del regolamento. Queste possono arrivare anche a 25 milioni di dollari o essere pari al 4% del fatturato globale annuo: che, nel caso di Facebook e Google, corrisponde a una cifra esorbitante.

(Fonte: Luca Cocuzza/Sentieri Digitali)

DPO

A partire dal 25 maggio 2018, il nuovo Regolamento europeo sulla privacy (GDPR) diventerà operativo ed esso introdurrà una nuova figura: il Responsabile della protezione dei dati (Dpo). La SI-IES sta seguendo da tempo l’argomento e con questo articolo si vuole parlare di un’importante novità: la banca dati dei responsabili per la protezione dei dati (Dpo). In settimana, infatti, partirà la procedura telematica che consente ai titolari e ai responsabili del trattamento di comunicare al Garante la designazione della nuova figura della privacy. La comunicazione della nomina del Dpo al Garante poteva già essere effettuata prima di oggi. L’Autorità guidata da Antonello Soro aveva, infatti, predisposto un modulo per l’invio cartaceo. Tuttavia le duecento lettere arrivate finora attraverso tale modalità hanno spinto alla creazione di una procedura telematica. Il nuovo modulo si compone di quattro sezioni:

    nella prima sezione vanno inserite le coordinate di effettua la comunicazione;
    nella seconda vanno indicati i dati del titolare o del responsabile del trattamento;
    la terza riguarda i gruppi imprenditoriali;
    nella quarta sezione si trova lo spazio riservato ai dati del responsabile della protezione dei dati, ovviamente Dpo.

Il modulo andrà compilato online accedendovi attraverso il sito del Garante (www.garanteprivacy.it). Una volta inserite tutte le informazioni, si riceverà una mail con allegato un file. Quest’ultimo dovrà essere sottoscritto con firma digitale qualificata e spedito entro 48 ore dalla ricezione. Se tutto va a buon fine, chi ha effettuato la comunicazione riceverà il numero di protocollo della pratica. Anche il titolare (o il responsabile del trattamento) e il Dpo saranno informati dell’esito dell’operazione attraverso l’indirizzo di posta elettronica certificata indicato nella comunicazione al Garante.

L’obbligo di informare l’Autorità circa la designazione del Dpo scatta nel momento in cui si effettua la nomina. Dunque, quanti hanno già indicato, o si preparano a farlo nei prossimi giorni, il nome del responsabile della protezione dei dati, devono essere consapevoli che il 25 maggio dovranno essere in regola anche con la comunicazione al Garante.

La procedura telematica permetterà all’Autorità di organizzare e gestire l’elenco nazionale dei Dpo. Una banca dati che ha diversi scopi, a cominciare dalla possibilità di poter contattare in modo rapido i responsabili della protezione dei dati, come indicato anche dalle linee guida adottate a tal proposito dal Gruppo (articolo 29, l’organismo che raggruppa i Garanti dei Paesi UE).

Esigenza che è funzionale anche al ruolo del Dpo, il quale deve fungere da tramite tra l’azienda o l’amministrazione in cui lavora e il Garante. Disporre di una mappa nazionale aggiornata di tutti i Dpo consente, infatti, all’Autorità di poterli contattare per inviare documentazione e aggiornamenti o segnalare iniziative. La prima delle quali si svolgerà il 24 maggio a Bologna, dove il Garante incontrerà tutti i Dpo alla vigilia del d-day della privacy.

(Fonte: Luca Cocuzza/Sentieri Digitali)

PASSWORD POLICY: La gestione delle credenziali di accesso

Obiettivi generali
La protezione delle credenziali di accesso rappresenta uno dei principi fondamentali della sicurezza delle informazioni, in particolare la creazione e la gestione delle password che costituiscono la principale contromisura agli accessi non autorizzati.

Visto quanto previsto dall’attuale codice in materia di protezione dei dati personali – D.Lgs. 196/03 - e, successivamente, ripreso dal nuovo regolamento europeo - GDPR UE 2016/679 - in vigore dal 24/05/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, occorre definire misure di protezione adeguate ed idonee per il trattamento e la tutela dei dati personali degli utenti.

La password policy aziendale ha lo scopo di definire una procedura che stabilisca i criteri per la creazione, l’utilizzo, la conservazione e la gestione delle credenziali di autenticazione fornite agli utenti per l’accesso alla piattaforma informatica.

In generale, i servizi informatici individuano, come strumento di accesso per gli utenti, un sistema di autenticazione (e di autorizzazione) basato su credenziali di accesso.

Esso consiste in un codice per l’identificazione dell’utente (“username” o “nome utente”), associato ad una parola chiave riservata (“password”) conosciuta esclusivamente dal solo utente.
I due elementi, uniti insieme, costituiscono la credenziale di accesso (“account” o “utenza”) così come definito dalla normativa vigente in tema di dati personali.

Campo di Applicazione
La password policy si applica a tutti i servizi informatici centrali, gestionali ed applicativi, compresi quelli web, alle postazioni di lavoro, alla rete wi-fi, al servizio di posta elettronica e a tutte le applicazioni e risorse informatiche presenti in azienda che prevedono un sistema di autenticazione per l’accesso.

Responsabilità degli amministratori di sistema
Gli amministratori di sistema devono proteggere la riservatezza e l’integrità delle password sui sistemi da loro gestiti e configurare i servizi informatici, forzando l’applicazione ove tecnicamente possibile, per soddisfare i requisiti della password policy definita.

Lo username viene assegnato, salvo diverso avviso, esclusivamente dall’amministratore del servizio (o amministratore del sistema) o da un suo delegato.

La password viene gestita, dopo la sua prima assegnazione da parte dell’amministratore, esclusivamente dall’utente, con l’eccezione dei casi in cui ricorrano necessità di carattere tecnico-organizzative.

Il codice identificativo, una volta assegnato ad un utente, non potrà più essere riassegnato ad altri soggetti, nemmeno in tempi successivi, proprio per poter garantire un’archiviazione e storicizzazione delle utenze (come riportato dalla normativa vigente in tema di dati personali).

Le credenziali di accesso non utilizzate da almeno 6 (sei) mesi dovranno essere disattivate (a meno che non siano state preventivamente autorizzate quali credenziali per soli scopi di gestione tecnica, che prevedono pertanto periodi di inattività anche più lunghi del semestre). Le credenziali devono essere disattivate anche quando l’utente perde il ruolo, la mansione e le qualità che gli consentono di utilizzarle per accedere ai vari servizi dell’azienda (es. cessazione del rapporto di lavoro, trasferimento,demansionamento, licenziamento, sostituzione, ecc.).

Laddove vi sia la ragionevole certezza che l’utenza sia stata utilizzata da persona diversa dal titolare, la stessa dovrà essere cambiata immediatamente dall’utente. In caso di inerzia, tale cambio verrà disposto direttamente dall’amministratore del sistema.
Le password di default -come quelle create per i nuovi utenti o assegnate dopo una reimpostazione della password -devono poter essere cambiate dall’utente al primo accesso. Se tecnicamente possibile, tale cambio password deve essere imposto all’utente dal sistema.

Responsabilità degli utenti
Gli utenti si impegnano a rispettare i criteri di creazione, conservazione e gestione delle credenziali di accesso di seguito indicati.

Gli utenti, una volta in possesso delle credenziali, devono cambiare la password al primo accesso rispettando i criteri di seguito descritti, evitando combinazioni facili da identificare. Devono scegliere password univoche, che abbiano un senso solo per l’utente che le sceglie, evitando di usare la stessa password per altre utenze.

La password è strettamente personale e non deve essere comunicata e/o condivisa con nessun’altra persona all’interno dell’organizzazione.

Gli utenti devono prestare attenzione a fornire le proprie credenziali di accesso, a rispondere ad e-mail sospette e/o a cliccare sui link durante la navigazione web (o nella mail) al fine di contrastare possibili frodi informatiche (come il phishing, lo spear phishing, il furto d’identità, il Data Breach, ecc.).

Ogni utente è responsabile di tutte le azioni e le funzioni svolte dal suo account.

Qualora vi sia la ragionevole certezza che le credenziali assegnate siano state utilizzate da terzi, l’utente dovrà cambiare immediatamente la password.

Per la conservazione sicura delle credenziali di accesso è consigliabile usare un software di gestione delle password (es. KeePass, LastPass, ecc.) evitando di memorizzarle su fogli di carta, documenti cartacei e file conservati all’interno della postazione di lavoro. Tali software permettono anche di automatizzare il processo di login alle varie applicazioni usate.

Qualora l’utenza venga bloccata a seguito della scadenza della password oppure sia necessario modificare la password perché dimenticata ovvero a fronte di qualsiasi altra motivazione, l’utente deve utilizzare i servizi self-service di reimpostazione o di cambio password messi a disposizione dal sistema oppure (ove non disponibili) contattare il servizio di assistenza tecnica o l’amministratore di sistema.

Requisiti tecnici per la creazione e gestione delle password
Come regola generale, la password deve essere ragionevolmente complessa e difficile da individuare e/o ricavare.

Nei limiti tecnici consentiti dai sistemi, la password:

1) deve essere di lunghezza non inferiore ad 8 caratteri oppure, nel caso in cui il sistema non lo dovesse prevedere, di lunghezza pari al massimo consentito;

2) deve essere obbligatoriamente cambiata al primo utilizzo e successivamente almeno ogni 6 (sei) mesi;

3) deve contenere, ove possibile, almeno 3 caratteri tra numeri, caratteri alfabetici in maiuscolo e minuscolo, e caratteri speciali (es. Az13nda!);

4) deve essere sempre diversa da almeno le ultime 4 precedentemente utilizzate;

5) non deve presentare una sequenza di caratteri identici o gruppi di caratteri ripetuti;

6) deve essere nota esclusivamente all’utilizzatore e non può essere assegnata e/o comunicata ad altri;

7) non deve contenere riferimenti agevolmente riconducibili all’utente o ad ambiti noti;

8) non deve essere basata su nomi di persone, date di nascita, animali, oggetti o parole ricavabili dal dizionario (anche straniere) o che si riferiscano ad informazioni personali;

9) non deve essere memorizzata in funzioni di log - in automatico, in un tasto funzionale o nel browser utilizzato per la navigazione internet.

Ove tecnicamente possibile, i requisiti di cui ai punti da 1) a 5) devono essere imposti da meccanismi automatici del sistema.

Per motivate necessità di urgente accesso alle informazioni, in caso di impedimento del titolare delle credenziali, la password può essere annullata e sostituita dagli amministratori di sistema con una nuova password. In questo caso la nuova password dovrà essere consegnata dall’amministratore di sistema all’utente, il quale dovrà modificarla al primo accesso

Informativa

Tutte le aziende ed organizzazioni pubbliche e private hanno l’obbligo di informare i propri utenti prima di raccogliere e di compiere qualsiasi operazione sui loro dati personali.

Contenuti da includere obbligatoriamente nell’informativa (art 13 e 14):

    Chi è il titolare del trattamento
    Chi effettua il trattamento
    Se nominato, i recapiti del DPO
    Quali sono i trattamenti effettuati e perché
    Qual è la base giuridica del trattamento
    Quali sono i dati raccolti
    Se il trattamento comporta operazioni automatizzate, come la profilazione
    Se i dati verranno comunicati a soggetti esterne (responsabili esterni)
    Per quanto tempo saranno conservati e in che modo
    Se i dati saranno trasferiti in altri Paesi e come
    Quali sono i diritti dell’interessato.

Data Breach

Con il termine data breach si intende un incidente di sicurezza avvenuto in maniera involontaria o volontaria, in cui dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati o utilizzati da un soggetto non autorizzato. Solitamente si realizza con una divulgazione di dati riservati o confidenziali all’interno di un ambiente privo di misure di sicurezze (da esempio, su web). Tale divulgazione può avvenire in seguito a:

        perdita accidentale: ad esempio, smarrimento di una chiavetta USB contenente dati riservati
        furto: ad esempio, furto di un notebook contenente dati confidenziali
        infedeltà aziendale: ad esempio, una persona interna che avendo autorizzazione ad accedere ai dati ne produce una copia da distribuire a vari scopi
        accesso abusivo: ad esempio, un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite

Esempi di violazioni di data breach

I dati violati con un data breach possono riguardare gli ambiti:

            finanziario (dati di carte di credito, di conti correnti…)
            sanitario (informazioni sulla salute personale, malattie…)
            proprietà industriale (segreti commerciali, brevetti, documentazione riservata, lista clienti, progetti finalizzati ad esempio a pratiche di concorrenza sleale…)
            personali (dati di documenti di identità, codici personali…)

E' fatto obbligo di avvisare l’autorità (entro 72 ore) e gli utenti in caso di gravi violazioni a seguito di attacchi informatici o di eventi avversi che possano comportare la perdita, la distruzione o la diffusione indebita di dati.

In capo ai titolari dei trattamenti vige l’obbligo di condurre una preliminare ricognizione dei dati trattati e dei rischi ai quali sono soggetti cui dovrà seguire l’adozione di idonee misure di sicurezza.
La comunicazione agli utenti non è dovuta se si dimostra di aver utilizzato misure di sicurezza e sistemi di cifratura e di anonimizzazione che rendano inintelligibili i dati.

Per consentire l’attività di accertamento del Garante, occorre tenere un elenco aggiornato delle violazioni subite, con il dettaglio delle circostanze e delle conseguenze. L’inventario deve adottare misure che ne garantiscano integrità ed immodificabilità.

Come prevenire data breach

La prevenzione di data breach passa dunque dalla valutazione dei rischi e dalla definizione di misure di tipo tecnologico e organizzativo.