10 importanti misure di protezione per un buon adeguamento al GDPR

Per ogni azienda arriva inevitabilmente il punto in cui deve essere conforme al GDPR. Nuove Start-up e fondatori di società appena costituite si trovano ora, molto tempo dopo l’introduzione del GDPR, di fronte al problema della sua implementazione, che altri hanno già superato. Ma come approcciare al meglio l’argomento?

Foto: Pixabay.com, copyright by Stephan1982, 1894351, CC0 1.0

Come procedere al meglio con l’adeguamento?

Se ti trovi di fronte al compito di rendere i tuoi processi aziendali conformi al GDPR ti chiederai da dove cominciare e dove finire. Il problema è che non esiste una checklist onnicomprensiva che tenga conto di ogni piccolo dettaglio e che si applichi automaticamente ad ogni azienda.

Invece è importante, dopo un’approfondita analisi delle tua attività in azienda, trovare le misure di protezione adeguate e commensurate alla tua azienda. Ad esempio, le grandi aziende, con molteplici ingressi, devono pensare ad una protezione diversa rispetto a un libero professionista che lavora in un piccolo ufficio o da casa, con una sola porta d’ingresso. Analogamente, si deve usare lo stesso orientamento per ogni singolo reparto interessato.

Di seguito abbiamo elencato le 10 più importanti misure che devi necessariamente prendere in considerazione nella pianificazione della tua protezione dei dati. A proposito delle misure ci sarebbe da dire molto di più di quanto consenta questo articolo che, perlomeno, ti offre una panoramica delle cose più importanti a cui dovresti pensare.

La lista, sfortunatamente, non può essere esaustiva. Sentiti libero di contattare il nostro team di WB Trade-it per concordare un appuntamento per una prima consulenza. Potremo definire, congiuntamente, un progetto di adeguamento, con tutte le misure di sicurezza da seguire, su misura per la tua azienda.

MTO – misure tecniche e organizzative – art. 32 GDPR

Il fatto che sia necessario adottare delle misure tecniche e organizzative è regolato dall’articolo 32 del GDPR. Nell’articolo vengono menzionati per esempio la pseudonimizzazione, la cifratura, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, la capacità di ripristinare i dati, la documentazione per iscritto e il controllo regolare.

Le misure tecniche in questo contesto riguardano tutte le misure “fisiche” come per esempio:

  • Regolamentazioni di accesso (recinzioni, protezioni strutturali, protezioni per finestre e porte)
  • Sistemi di allarme
  • Specifiche indicazioni tecniche per la password e la sua complessità
  • Protezione aggiuntiva tramite identificazione (dati biometrici)
  • Pseudonimizzazione e crittografia dei dati personali
  • Impostazione e protezione degli account dell’utente
  • Creazione di registri di accesso automatici

Inoltre, esistono anche misure organizzative che fanno riferimento alle istruzioni procedurali e alle istruzioni del personale. Di questi fanno parte per esempio:

  • Il principio a quattro occhi per un controllo multiplo
  • Requisiti per la registrazione dei visitatori
  • Politiche che regolano la gestione, l’accesso e l’uso dell’IT, di Internet e dei dispositivi mobili
  • Istruzioni per lo smaltimento dei documenti conforme alla privacy
  • Impegno di riservatezza

10 importanti misure

Regolamento – Password

È molto importante, e anche piuttosto comune in ambiti privati, proteggere il PC con una password. Il tuo reparto IT può installare un programma che imposta i requisiti minimi che deve avere una password (quanti caratteri o simboli speciali) e a quali intervalli deve essere cambiata la password. Inoltre, questi programmi fanno sì che le password già utilizzate non possano più essere impiegate.

Regolamento – accesso fisico

Ciò include il controllo e la determinazione di quali persone hanno accesso a quali edifici o stanze, come, per esempio, nella sala server. In aziende piccole con soltanto una porta di ingresso, nella quale lavorano solo una manciata di persone in un ufficio unico e dove non esistono tante altre stanze, può capitare facilmente che questa misura di sicurezza venga dimenticata. In queste aziende, è molto comune che ognuno si muova liberamente e ovunque.

Regolamento – accesso virtuale

Questa misura prevede che tu specifichi necessariamente chi può accedere a quali dati. Non tutti dovrebbero essere in grado di accedere a qualsiasi PC e non tutti i computer dovrebbero avere installato lo stesso software. Un dipendente di produzione non deve avere la possibilità di accedere ai dati personali dei dipendenti, anche perché non ha il programma necessario o perché non ha le credenziali per accedere. Questo può essere regolato dal tuo reparto IT con l’installazione di diversi programmi per ogni pc e con il piano di autorizzazione degli accessi ai diversi dati.

Archiviazione dei dati

I tuoi dati (file elettronici e cartacei) devono essere archiviati secondo specifiche indicazioni e conservati per l’utilizzo quotidiano. Le persone esterne all’azienda non devono poter accedere ai dati per nessun motivo, mentre il personale interno può farlo solo secondo necessità e con opportuna autorizzazione. Qui entrano in gioco gli armadi chiudibili a chiave e a prova di fuoco, oltre a un buon firewall e programma di anti-virus per la protezione elettronica.

Regolamento – visitatori

Deve essere definito esattamente chi può accedere alla tua azienda, quando, dove e come si svolge la visita. I visitatori dovrebbero essere ammessi solo dopo la registrazione, accompagnati da personale addetto e avere accesso solo a determinate aree.

Limitazione dati

Devi determinare quali dati ti servono per lavorare. I dati non importanti non vanno nemmeno richiesti ai clienti e o fornitori e, di conseguenza, neanche archiviati. I dipendenti devono, inoltre, controllare con regolarità quali dati possono essere distrutti e/ o eliminati. Puoi lavorare in modo efficace soltanto se tutti i tuoi dati sono aggiornati.

Controllo degli elaboratori di dati personali

Se devi inoltrare i dati personali a fornitori di terze parti per un’ulteriore elaborazione, dovrai concordare in che modo procedere con la trasmissione dei dati. In particolar modo, questo controllo include l’esame della conformità al GDPR e la stipula di un contratto per l’elaborazione, come previsto nell’articolo 28 GDPR. Inoltre, anche i regolamenti e la conservazione dei contratti devono essere regolati da te.

Regolamento – Video-sorveglianza

Attraverso la video-sorveglianza raccogli e memorizzi informazioni personali. Per questo è necessario il consenso degli interessati. Perciò devi regolamentare precisamente dove posizioni le videocamere, in che modo e dove informi i tuoi dipendenti, i visitatori e i clienti che vengono ripresi, e per quale motivo e per quanto tempo conservi di dati.

Regolamento – caso emergenza

In caso di danni causati dall’acqua o da un incendio, ma anche in caso di interruzioni di corrente, i tuoi dati potrebbero essere in pericolo. Hai sicuramente bisogno di un piano di emergenza, e devi definire in anticipo cosa fare in caso di violazione dei dati (databreach). Anche senza evocare simili scenari drammatici, un piano di emergenza deve regolare anche la reperibilità delle persone incaricate per un eventuale contatto. Deve essere chiaro chi, quando e come è raggiungibile e come è in grado di fornire informazioni. A tutto ciò si aggiungono, inoltre, i dati di contatto delle autorità o degli interessati per lo scambio di informazioni e il regolamento IT: vale a dire, chi può ripristinare i dati e come?

Regolamento- distruzione dati

La distruzione dei dati necessita anche di regolamenti interni. Questi devono essere conformi ai livelli di sicurezza della norma DIN 66399, in cui viene regolata la misura di distruzione dei supporti di dati (in particolare carta) affinché possano essere smaltiti in conformità al GDPR. Oltre alla carta con dimensioni prescritte, anche i DVD, le chiavette USB e gli hard disk del server possono essere smaltiti una volta scaduto il termine legale minimo del periodo di conservazione.

Foto: Pixabay.com, copyright by ReadyElements, 3509495, CC0 1.0

Informazioni e aiuti

Le misure di protezione sono solo illustrative e non esaustive. Se vuoi metterti legalmente al sicuro, saremo felici di aiutarti con il nostro team di WB Trade-it. Insieme possiamo trovare soluzioni che si adattano perfettamente alla tua situazione e con le giuste misure per la tua azienda.

Da un anno sei conforme al GDPR… ma va ancora tutto bene?

Gli obblighi del GDPR dovrebbero essere stati implementati, in tutte le aziende che elaborano dati personali, sin dal maggio 2018. Sei riuscito a fare tutto in tempo? Ottimo! Ma com’è messa ora la tua conformità al GDPR? La domanda ti sembra forse strana ma, una volta implementato, il sistema non è autoregolante. Quindi, che cosa puoi fare per controllare che i tuoi processi e la tua azienda siano ancora conformi al Regolamento?

Ancora conforme al GDPR?

I 4 punti più importanti che devi ricordare

Da quando ti sei adeguato al GDPR, possono essersi verificati dei cambiamenti: possono essere state introdotte regole aggiuntive al GDPR; la tua azienda è cresciuta nel frattempo e hai acquisito un nuovo sistema IT poiché quello vecchio è diventato obsoleto; oppure hai assunto del personale nuovo che non ha partecipato alla formazione iniziale sul GDPR. Vedi che, in tutti o solo alcuni ambiti, potrebbe diventare un problema? Quindi, che cosa dovresti fare?

Le cose importanti sono:

  • Una revisione regolare (Checkup) e un’analisi dei tuoi processi.
  • L’introduzione di un sistema di data-management.
  • La formazione regolare di tutti i dipendenti.
  • Effettuare un Audit cosi come da articolo 42 del GDPR.

Checkup e analisi dei tuoi processi

Una volta adeguati al GDPR, i tuoi processi dovrebbero funzionare. Nella maggior parte dei casi, però, non lo fanno senza intoppi, poiché solo nella pratica si evidenziano i punti da ottimizzare. Ciò accade anche se le bozze di procedure sembrano, nella teoria, perfette e funzionanti. Infatti, non appena i dipendenti li implementano nella loro routine quotidiana di lavoro, notano quali criticità non sono ancora state risolte in modo soddisfacente.

Spesso, queste cose si notano quando si deve elaborare un caso particolare, che si verifica raramente e che, a quel punto, non è semplice da gestire. Questo riscontro è molto utile e ti permette di aggiustare i punti non perfettamente funzionanti.

Oltre ai riscontri dei tuoi collaboratori, anche il responsabile per la protezione dei dati (RPD) deve esaminare costantemente questi processi e proporre modifiche e miglioramenti. Perché lui è, in base all’articolo 39 GDPR, incaricato di “sorvegliare l’osservanza del regolamento”.

Pertanto, è utile lavorare in modo attivo all’analisi dei processi aziendali e assicurarti di ciò su cui puoi intervenire rapidamente, prima che si possa verificare una violazione dei dati.

Introduzione di un sistema sostenibile della gestione dei dati (DMS)

L’analisi e il controllo sono buone opzioni per te, ma non dovrebbero essere eseguite a intermittenza, magari solo quando ti capita, per caso, di avere un pò di tempo. Pertanto è meglio, oltre che ad essere previsto dal GDPR, introdurre un sistema di gestione dei dati sostenibile.

Per il GDPR ciò significa, per esempio, che oltre all’incaricare un Responsabile per la protezione dei dati (RPD), anche le tue misure tecniche e organizzative, ai sensi dell’articolo 32 GDPR, siano costantemente aggiornate.

Devi rispettare il tuo obbligo di prova, tenendo un registro di tutte le attività di trattamento, ai sensi dell’articolo 30 GDPR. Inoltre, in conformità con l’articolo 35 del GDPR, è necessario preparare una valutazione d’impatto sulla privacy, in cui si esaminano attentamente i rischi e le conseguenze delle misure di trattamento previste.

È anche importante che organizzi adeguatamente la tua gestione dei contratti. Se consenti ai tuoi fornitori di servizi di elaborare i dati dei tuoi clienti o dipendenti, assicurati di stipulare prima un contratto con tali fornitori per questi trattamenti, come ai sensi dell’articolo 28 del GDPR. Il contratto deve garantire che il fornitore adotti le misure tecniche e organizzative adeguate al fine di salvaguardare i diritti delle persone interessate.

Formazione regolare di tutti i dipendenti

Tutti i dipendenti coinvolti nel trattamento dei dati personali devono essere formati in modo continuo. Poiché devi prestare attenzione al fatto che nella tua azienda in nessun posto di lavoro s’ignori la protezione dei dati, è importante che tutti i dipendenti siano sensibilizzati allo stesso livello.

La formazione costante dei collaboratori ti aiuta anche nel caso in cui tu debba spostare o sostituire qualche dipendente con breve preavviso. In questa situazione non ti puoi permettere che il sostituto non abbia mai sentito parlare della privacy. Per inciso, la formazione continua e la formazione degli impiegati sono comunque essenziali per la tua azienda, non solo nel contesto del GDPR.

I corsi di formazione sono solitamente organizzati dal Responsabile per la Protezione dei Dati, anche se non è obbligato a tenerli personalmente. Ci sono specialisti che svolgono questa formazione in loco. Ma puoi anche utilizzare la formazione online oppure le offerte della Camera di Commercio o dell’Industria locale.

È quindi necessario documentare la partecipazione a questi corsi di formazione come parte della prova e della responsabilità ai sensi dell’articolo 5 GDPR.

Esecuzione di un audit conforme al GDPR (art.42)

Per dimostrare ai tuoi clienti e fornitori che, da te, i dati si trovano in buone mani perché li gestisci in modo responsabile e perché rispetti gli obblighi del GDPR, è utile e positivo se puoi esibire una certificazione. Tale certificazione è ottenibile, conformemente alle disposizioni del GDPR (art. 42), da un organismo di certificazione accreditato (art. 43 DGPR).

La certificazione deve essere volontaria e accessibile attraverso un processo trasparente e non ti esonera dalla responsabilità di rispettare gli obblighi del GDPR. Per questi audit devi fornire all’organismo di certificazione tutte le informazioni necessarie. La certificazione ha una validità di 3 anni e può essere rinnovata se continui a mantenere gli stessi standard (per ulteriori informazioni riguardo la certificazione, leggi il nostro articolo “Codice di condotta e certificazioni di qualità per osservare gli obblighi del GDPR”)

In linea di principio, questi audit non sono una novità perché sono già stati effettuati in passato, sotto il nome di “Data Protection Audit”, al fine di verificare e dimostrare la conformità dell’azienda con il codice della privacy. La procedura oggi e simile: attraverso l’uso di uno specifico questionario vengono controllati e provati i processi della tua azienda.

Ad esempio, viene controllato com’è strutturata la tua organizzazione e come è fatto il tuo piano di protezione dei dati. Ma anche il controllo degli accessi per le persone non autorizzate o l’accesso fisico ad ambienti e il controllo degli accessi ai PC sono esaminati attentamente. E, ovviamente, va controllato se sei obbligato a incaricare un Responsabile per la Protezione dei Dati (RPD) e se tale figura, nel caso, esiste.

Come puoi mantenere il focus su tutto?

L’implementazione del GDPR nelle aziende è stato un grande sforzo per titolari e dipendenti. La revisione e il controllo regolare pongono ora nuove sfide a tutti. In fin dei conti, nessuno vuole rischiare accidentalmente una multa salata perché qualcosa è stato ignorato – almeno finché non è troppo tardi.

GDPR-Audit per mantenere il controllo

Quindi, ha senso cercare un aiuto professionale. Noi, con il nostro team di esperti, affrontiamo ogni sfida. Il nostro personale competente è disponibile in qualsiasi momento e ti aiuta con l’analisi dei tuoi processi, con gli adeguamenti necessari e con la formazione dei tuoi dipendenti. Siamo felici di consigliarti sui nostri servizi, supporti e prodotti.

DPO- il partner giusto

Come trovi il RPD – Responsabile della Protezione dei Dati – più giusto per te?

Il GDPR contiene una serie di nuovi requisiti che dovevano essere implementati dalle aziende sin dalla sua entrata in vigore, a maggio 2018. Tuttavia, un lavoro “una tantum” non è sufficiente, perché i tuoi processi devono essere continuamente adeguati e aggiornati al regolamento, sia dal punto di vista tecnico che da quello organizzativo.

DPO- il partner giusto
RPD – DPO come trovare quello giusto?

Che tutto funzioni al meglio e che sia controllato correttamente non dipende soltanto da te, come direttore generale o proprietario d’azienda, ma anche dal tuo Responsabile per la Protezione dei Dati – RPD (DPO Datat Protection Officer) . Infatti, devi nominare un RPD, come definito nell’articolo 37 GDPR, se le tue attività aziendali principali consistono in trattamenti su larga scala o di categorie particolari di dati personali, di cui all’articolo 9 GDPR .

Dove cerco un RPD o DPO esterno?

Fondamentalmente, hai due possibilità. Innanzitutto, devi prima decidere se incaricare un dipendente interno per questa posizione o trovare un Responsabile per la Protezione dei Dati esterno.

A che cosa devi prestare attenzione?

Internamente, in genere, farai fatica ad individuare un dipendente già pronto con le qualifiche richieste. Dovrai quindi considerare di fargli frequentare opportuni corsi di formazione. I corsi, non solo costano soldi ma impegnano il tuo collaboratore anche molto tempo. Inoltre, considera che il neo-RPD avrà probabilmente acquisito la necessaria conoscenza di base, ma non avrà ancora sviluppato alcuna esperienza nel settore. Le abilità si sviluppano solo nel tempo!

Viceversa, un fornitore di servizi esterni è l’ideale per le piccole e medie imprese e consente anche di risparmiare sui costi. Questi fornitori di servizi hanno già anni di esperienza nel settore specifico. Esiste un numero indefinito di società di servizi e avvocati che si offrono come Responsabili esterni della protezione dei dati. Purtroppo, spesso di fronte a una così vasta offerta è difficile decidere per l’RPD più adatto alle proprie esigenze.

Le opzioni per trovare un RPD adatto.

Anche in questo caso hai due opzioni “ufficiali” a disposizione. Puoi, per esempio, trovare un esperto della protezione dei dati tramite il TÜV Italia. Il TÜV è conosciuto e quindi affidabile.

È inoltre possibile contattare l’associazione professionale dei Responsabili della protezione dei dati  Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. oppure l’associazione Federprivacy. Tramite queste organizzazioni puoi ottenere gli elenchi dei membri professionisti e prendere contatto con uno di loro.

È anche utile consultare amici e conoscenti che possono raccontarti le loro esperienze, positive o negative, con determinate aziende. In fondo, è importante che tu scelga qualcuno che sia competente, che ti sia gradevole e con il quale poter costruire una buona e duratura cooperazione sulla base di reciproca fiducia.

Quali qualifiche deve avere il DPO?

Le qualifiche richieste sono menzionate nell’articolo 37 (5) GDPR: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.”

Inoltre, il considerando 97, relativo all’articolo 37, aggiunge, alla conoscenza specialistica che il ruolo richiede, conoscenze specifiche sulle operazioni di trattamento e protezione dei dati personali utilizzati.

Quali ambiti di competenza deve coprire?

I compiti che il Responsabile della protezione dei dati deve svolgere, nel corso della sua attività, sono descritti dettagliatamente nell’articolo 39 del GDPR. Questi includono, per esempio:

  • Informare e fornire consulenza al titolare del trattamento e ai dipendenti.
  • Sorvegliare l’osservanza del Regolamento GDPR.
  • Fornire un parere in merito alla valutazione d’impatto.
  • Cooperare con l’autorità di controllo.
  • Fungere da punto di contatto per l’autorità di controllo.

Di conseguenza, la sua attività è piuttosto ampia e interdivisionale. È quindi un vantaggio se ha profonde conoscenze sia in questioni legali, sia organizzative che di programmazione IT. (scarica il nostro e-Book)

A proposito: giacché il responsabile della protezione dei dati è pur sempre un essere umano che potrebbe commettere un errore, sarebbe bene se verificassi se ha un’assicurazione di responsabilità civile. Tale assicurazione coprirebbe, nella peggiore delle ipotesi, i danni che potrebbe causarti.

Come scelgo il giusto RPD?

A questo punto, non soltanto devi selezionare un Responsabile della Protezione dei Dati esterno qualificato, ma devi anche valutare altri aspetti. In particolare, da quale ambito professionale dovrebbe provenire il DPO? Dovrebbe essere un avvocato o uno specialista IT? E infine, il professionista più economico è sempre peggio di un esperto più costoso?

Chi è meglio come DPO: un avvocato o uno specialista IT?

Sul mercato sono disponibili diversi corsi certificati, ma non è prevista una formazione obbligatoria per i Responsabili della Protezione dei Dati (RPD). La tua scelta potrebbe quindi orientarsi verso un avvocato che sicuramente padroneggia perfettamente la parte legale della gestione dei dati.

Oppure, potresti optare per uno specialista IT che conosca molto bene i Software, l’Hardware e i vari programmi. Ma la gestione della privacy è principalmente organizzazione piuttosto che programmazione tecnica, motivo per cui non è nemmeno possibile sfruttare appieno la conoscenza approfondita dello specialista IT.

Attenzione: Il tuo fornitore usuale di servizi IT, che arriva quando la tua stampante smette di funzionare o i tuoi dati nel sistema sono scomparsi, non può diventare contemporaneamente il Responsabile della Protezione dei Dati perché gli mancano l’obiettività e la neutralità necessarie. Infatti, ovviamente preferirà i programmi e i processi da lui introdotti, e quindi potrebbe trascurare soluzioni alternative.

L’avvocato sembrerebbe quindi la scelta migliore in quanto i rapporti con le autorità di controllo si svolgono molto sul piano legale. Ricorda che sono richieste una conoscenza e esperienza specifica che non si possono apprendere attraverso un semplice corso di formazione. Per contro, un avvocato purtroppo non ne sa abbastanza di problemi informatici o di misure organizzative di protezione. Pertanto, un fornitore di servizi che copre tutte le discipline e ti offre un team qualificato di avvocati e specialisti IT è la scelta migliore per te. Grazie a questo backround, il fornitore di servizi può fornire la riposta o la soluzione legale o tecnica giusta in ogni situazione.

Meglio un DPO economico o uno costoso? (art.37-39)

Questa domanda è molto popolare, ma qual’ è il tuo limite personale tra economico e costoso? Ci sono buoni professionisti economici e cattivi professionisti costosi, quindi per te dovrebbe essere logico scegliere l’intero pacchetto. Ma devi tener conto del fatto che l’istruzione e la formazione continua dei bravi DPO non è economica! Un esperto che investe costantemente nella propria istruzione non può offrirti prezzi ridicoli. Semplicemente, non sarebbe conveniente per lui. Prezzi troppo bassi dovrebbero indurti a riflettere.

Pensa ad un buon avvocato che dovrebbe salvarti dalla prigione. Certamente di fronte a tale possibile punizione (che, in senso figurato, nel GDPR è rappresentata da una enorme multa), ricercheresti il migliore difensore e, se necessario, senza badare a spese! È sempre pericoloso scegliere un partner solo per risparmiare, perché ciò alla fine ti può costare caro.

In ogni caso dovresti prestare attenzione a:

  • Che cosa ti viene offerto per i tuoi soldi?
  • Il fornitore di servizi è sufficientemente qualificato e ha molti anni di esperienza pratica e approfondite conoscenze specialistiche?
  • È sempre reperibile per te?
  • Ti consiglia in modo esaustivo e comprensibile e ti offre un buon servizio personale oltre ad un supporto telefonico e via e-mail?

L’agonia della scelta – possiamo convincerti?

Se non sei sicuro su quale sia il fornitore di servizi esterno più adatto a te, allora lasciati semplicemente consigliare da noi.

Cyber Security
Cyber Security and Digital Data Protection Concept.

Noi ti possiamo aiutare in ogni caso, indipendentemente dalla tua decisione. Nel nostro team abbiamo membri esperti e con conoscenze sia giuridiche sia tecniche professionali. Quindi potrai beneficiare in ogni caso della collaborazione di entrambi! Inoltre possiamo fornirti il tuo Responsabile per la Protezione dei Dati (RPD) oppure formare i tuoi collaboratori, se desideri sceglierne uno tra i tuoi dipendenti adatto per questo ruolo.

Una cooperazione di fiducia e a lungo termine, una reperibilità costante e un buon servizio sono per noi di dovere. Il nostro team, composto da molteplici esperti, offre numerosi servizi e diversi corsi di formazione inerenti al GDPR, tutti fruibili con la formula “chiavi in mano”. Siamo felici di spiegarti, in un colloquio personale, i nostri servizi e soluzioni su misura per le tue esigenze!

GDPR - cloud service security

Quando un servizio Cloud é conforme al GDPR?

Cloud service e GDPR

Le grandi aziende lavorano, giustamente, con i sistemi ERP e memorizzano i loro dati in Cloud. Tuttavia, un lavoro efficace, rapido e conveniente potrebbe essere eseguito a discapito della sicurezza. Infatti, spesso i server su cui sono archiviati i dati nel cloud si trovano all’estero e, di conseguenza, non sono necessariamente soggetti alle rigorose condizioni europee sulla protezione dei dati. Ma questa è solo una delle cose importanti di cui devi essere a conoscenza riguardo gli obblighi del GDPR, quando lavori con il cloud.

Quali sono i requisiti necessari perché il cloud sia considerato sicuro e i servizi in cloud siano ritenuti conformi al GDPR?

Pro e contro del Cloud

Prima di esaminare quando un servizio cloud sia conforme al GDPR, diamo un’occhiata a cosa prevedete questo servizio. Se cosi tante persone amano lavorare con il cloud, deve anche avere molti vantaggi, giusto? Esistono anche svantaggi o rischi? E quali sono?

I vantaggi e gli svantaggi del cloud sono leggermente diversi tra utenti privati e utenti di grandi aziende. Poiché qui trattiamo le esigenze della tua azienda, ci limitiamo ad esaminare queste ultime. Ovviamente puoi risparmiare un sacco di soldi attraverso i servizi cloud in termini di servizi esterni, personale e hardware. Paghi mensilmente per i servizi cloud un importo pre-stabilito e calcolabile e inoltre non hai costi interni per la manutenzione o i server e il personale dedicato, perché tutto ciò viene effettuato dal fornitore del servizio cloud. In più, il tuo software è sempre aggiornato.

Lo svantaggio è che dipendi completamente dal fornitore, e che lui potrebbe distruggere il tuo lavoro, nel caso di una sua bancarotta. Anche in termini di servizio, devi sperare che tu possa sempre raggiungere qualcuno che ti aiuterà in caso di bisogno. Un altro problema potrebbe essere la connessione Internet. Se hai collegamenti mal funzionanti, la connessione diventa inaffidabile e senza dati non puoi lavorare.  Inoltre, non è chiaro se e quando sia necessario adeguare i tuoi sistemi IT al software del provider. Tuttavia, il rischio maggiore è la protezione dei dati, se il server si trova all’estero e non è vincolato dal GDPR.

Utile: anche il servizio Cloud deve essere conforme al GDPR

Non solo tu, ma anche il fornitore di cloud italiano o europeo è vincolato dal GDPR. Il suo servizio Cloud deve essere conforme al GDPR. Questo è un vantaggio per te perché il fornitore, per conto proprio, garantisce sia misure tecniche che organizzative di tutti suoi processi e, di conseguenza, anche i servizi Cloud proposti saranno conformi al GDPR. Se utilizzi un simile servizio cloud, allora sei dalla parte sicura.

A che cosa prestano attenzione i Cloud Provider?

Proprio come te, i servizi cloud devono prestare particolare attenzione all’articolo 5 del GDPR che stabilisce che gli interessati devono aver precedentemente acconsentito al trattamento dei dati personali. Inoltre, l’elaborazione deve essere cosi trasparente da essere comprensibile per le persone interessate.

In più, come da art. 32 del GDPR, i servizi cloud devono essere sempre all’avanguardia e aggiornati all’ultimo stato dell’arte. I fornitori cloud devono continuamente ottimizzare, migliorare e adeguare i loro programmi e processi per garantire il massimo livello di sicurezza.

Affinché gli utenti possano gestire il programma, il provider deve prestare attenzione ai termini di “Privacy by Design” e “Privacy by Default”. Questi obblighi sono previsti dall’articolo 25 del GDPR e significano che le impostazioni del programma devono essere non solo rispettose della privacy, ma anche di facile utilizzo. (Trovi informazioni dettagliate al proposito nel nostro articolo GDPR: una volta implementato, tutto a posto?“)

Chi è responsabile per l’elaborazione dei dati in Cloud?

Attenzione a non commettere l’errore di pensare che il servizio cloud abbia già sistemato tutto e che, nel caso, puoi biasimarlo per una violazione dei dati. Sfortunatamente non è così. Perché quanto a responsabilità, entrambi tu e il cloud provider siete tenuti a rispettare gli obblighi del GDPR. Ed è inoltre consigliato avere la conferma scritta da parte del provider del Cloud che il servizio sia conforme al GDPR.

Gli articoli 5, 28, 30 e 35 del GDPR comportano obblighi di responsabilità, secondo i quali l’utente del cloud è responsabile di garantire che tutti i requisiti regolamentati siano soddisfatti! E questo devi essere in grado di dimostrarlo già prima dell’utilizzo e/o trattamento. Ciò include, ad esempio, la registrazione dell’elaborazione dei dati in cloud nel tuo registro dei trattamenti. In caso di dubbi, è necessario verificare l’elaborazione in cloud mediante un’analisi dei rischi (valutazione dell’impatto sulla privacy) e implementare le misure di sicurezza adeguate affinché il rischio sia minimizzato.

Se vuoi utilizzare un servizio cloud, anche se a volte non accade semplicemente cosi, come utente del servizio devi indispensabilmente dare un mandato al provider del cloud affinché possa elaborare i dati personali dei tuoi clienti e fornitori (art. 28 GDPR). Tramite l’incarico per l’elaborazione dei dati puoi garantire che il fornitore del servizio cloud soddisfi anche i requisiti del GDPR. E, come parte integrante, il cloud provider ti deve fornire tutte le informazioni necessarie per dimostrare che sia adempiente a tutti gli obblighi.

Importante per te: lavora solamente con fornitori Cloud certificati!

Se stai cercando un fornitore adatto, assicurati di lavorare soltanto con un operatore cloud certificato. Sebbene tu possa fare molti accordi con il fornitore, non puoi essere sicuro che l’azienda di servizi si attenga agli accordi. È quindi utile se ti fai consegnare un certificato che dimostri che il servizio cloud ha superato “il processo di certificazione approvato ai sensi dell’articolo 42”. (Saprai di più sulla procedura nel nostro articolo “Codice di condotta e certificazioni di qualità per osservare gli obblighi del GDPR“)

Quali alternative ci sono al Cloud?

Nonostante il rischio, il nuovo Cloud è davvero una soluzione pratica. Esiste anche un encomiabile/lodevole servizio di scambio dati (iDGARD di Uniscon) che soddisfa i requisiti del GDPR.

Cloud security

Se invece non desideri utilizzare il servizio Cloud (con un operatore europeo si dovrebbe stare abbastanza al sicuro), allora in alternativa ti resta solo la chiavetta USB, dischi rigidi esterni oppure un cloud privato attraverso un’intranet aziendale.

Quello che dovresti utilizzare, caso per caso, dipende dalla tua azienda e dai tuoi processi. La soluzione scelta deve essere adatta e coerente per te, senza complicare i tuoi processi aziendali o mettere in pericolo la protezione dei tuoi dati. Tieni presente che le chiavette USB e i dischi rigidi esterni sono supporti di memorizzazione piuttosto a breve termine, su cui i dati non sono protetti in modo illimitato.

Affinché la protezione dei dati e il lavoro in cloud siano strettamente legati ai tuoi processi aziendali, il nostro team di esperti di WB Trade-it sarà lieto di aiutarti ad allineare le tue procedure e la tua privacy al GDPR.

Ricorda, lavorare in un Cloud conforme al GDPR non per forza deve essere più costoso rispetto ad un servizio non conforme. Tuttavia, alla tua attività ciò evita danni economici e di reputazione.

Hai ancora domande o dubbi?

Contattaci e insieme troviamo la soluzione più adatta alla tua attività. La prima consulenza è sempre gratuita e senza vincoli.

Codice di condotta e certificazioni di qualità per osservare gli obblighi del GDPR

Una volta implementati i processi di gestione dei dati personali nella tua azienda è necessario monitorarli regolarmente attraverso appropriate misure tecniche e organizzative. In questo modo garantisci di rispettare gli obblighi riguardo il regolamento.

Hai mai sentito parlare del codice di condotta?

Foto: Pixabay.com, copyright by geralt, 4015001, CC0 1.0

In un’azienda, solitamente l’amministratore delegato è Responsabile per la tutela dei dati personali. Questo non cambia nemmeno incaricando un RPD (responsabile per la protezione dei dati), che deve prevalentemente controllare la corretta implementazione dei requisiti del GDPR e monitorare se la direzione persegue gli obiettivi attraverso concetti e strategie adeguati.

Ma in che modo l’Amministratore Delegato e il Responsabile per la Protezione dei Dati soddisfano correttamente i propri obblighi?

I più importanti obblighi a riguardo, nel GDPR

Il GDPR ti fornisce alcuni indizi. In primo luogo, descrive l’esatta responsabilità dell’art. 24 e fa specifico riferimento agli articoli 40 e 42. Diamo un’occhiata più da vicino a questi obblighi per scoprire che cosa significano concretamente per te.

Articolo 24 GDPR – La responsabilità del titolare del trattamento

Il legislatore spiega, in quest’articolo, che la persona responsabile deve garantire, attraverso una valutazione del rischio e adeguate misure tecniche e organizzative, che il trattamento dei dati sia conforme al GDPR. Per questo ne è richiesta inoltre la dimostrazione documentata. Come prova, occorre dimostrare l’osservanza del codice di condotta, di cui all’articolo 40, cosi come della procedura di certificazione approvata di cui all’articolo 42.

Le misure di protezione esatte non sono menzionate nel regolamento, ma puoi trovare dei riferimenti nei relativi considerando 74-77, che trattano soprattutto la valutazione del rischio.

Articolo 40 GDPR – Codici di condotta

Qui sono stati formulati 11 punti che ti spiegano quali regole di condotta devono essere elaborate dettagliatamente negli Stati membri. Questi punti sono elencati al numero 2 dove si legge:

  1. Il trattamento corretto e trasparente dei dati;
  2. I legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici;
  3. La raccolta dei dati personali;
  4. La pseudonimizzazione dei dati personali;
  5. L’informazione fornita al pubblico e agli interessati;
  6. L’esercizio dei diritti degli interessati;
  7. L’informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore;
  8. Le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a garantire la sicurezza del trattamento di cui all’articolo 32;
  9. La notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali violazioni dei dati personali all’interessato;
  10. Il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali;
  11. Le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento e interessati in materia di trattamento, fatti salvi i diritti degli interessati ai sensi degli articoli 77 e 79.

Queste regole sono importanti perché aiutano a soddisfare i requisiti di prova di cui agli articoli 24 e 32. Le regole sono inoltre importanti nel contesto della valutazione d’impatto sulla protezione dei dati di cui all’articolo 35.

Chi è autorizzato a stabilire queste regole?

Queste regole di comportamento sono chiamate anche “Code of Conduct” oppure  “Codice di condotta della privacy”. Sono regole elaborate, in base all’articolo 40, dalle “associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento”, per esempio da associazioni professionali come l’Albo dei Medici o l’Albo degli Avvocati, ma anche la Camera di Commercio oppure i sindacati e le associazioni dei datori di lavoro.

Le associazioni devono prima sottoporre il proprio progetto di codice di condotta elaborato all’autorità di controllo, competente per la revisione e l’approvazione ai sensi dell’articolo 55 del GDPR. Regole nazionali possono essere autorizzate e pubblicate dall’autorità autonomamente. Invece, per progetti di codici di condotta che riguardano attività di trattamento internazionali, l’autorità competente lo sottopone al comitato (art.63), tramite il meccanismo di coerenza, il quale formula un parere sulla conformità.

Chi controlla l’osservanza delle regole?

La sorveglianza è regolata dall’articolo 41. L’articolo afferma che oltre all’autorità di controllo competente (ai sensi degli articoli 57 e 58), anche un cosiddetto “organismo accreditato” controlla la conformità. L’organismo verifica regolarmente la conformità e informa l’autorità di controllo in caso di violazioni.

Articolo 42 – GDPR Certificazione

In questo articolo viene specificato che gli Stati membri e le autorità di controllo incoraggiano l’istituzione di meccanismi di certificazione e di sigilli e marchi di protezione dei dati, allo scopo di dimostrare la conformità dei trattamenti effettuati al GDPR. Nel considerando 100 viene inoltre menzionato che questi marchi e sigilli dovrebbero aiutare agli interessati “a valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi”.

Inoltre, la certificazione deve essere volontaria e accessibile attraverso un processo trasparente. Tuttavia, solo perché sei certificato non significa che tu, in quanto responsabile, possa prestare meno attenzione alla conformità. La certificazione non diminuisce le tue responsabilità e nemmeno i compiti e poteri delle autorità di controllo.

La certificazione viene effettuata in base agli articoli 43, 58 o 63  dalle autorità di controllo competenti oppure da organismi di certificazione. Il Responsabile deve fornire all’ente di certificazione tutte le informazioni necessarie per ottenere la certificazione. La certificazione è rilasciata al titolare per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni, purché continuino a essere soddisfatti i requisiti pertinenti. Nel caso contrario la certificazione può essere anche revocata.

Articolo 43 GDPR Organismi di certificazione

Questo articolo specifica quali enti possono essere accreditati come organismi di certificazione. Gli enti certificatori devono soprattutto essere:

  • indipendenti,
  • in grado di dimostrare all’autorità di controllo di essere competenti riguardo al contenuto della certificazione,
  • impegnati a rispettare i criteri di cui all’articolo 42, 55, 56 e 63
  • dotati di procedure necessarie per l’emissione, organizzati per la revisione periodica e la revoca della certificazione e dei sigilli e marchi di protezione dei dati
  • provvisti di procedure e strutture tramite le quali possono verificare la certificazione
  • in grado di dimostrare, in modo convincente, all’autorità di controllo, che i compiti e le mansioni non comportano un conflitto d’interessi.
Foto: Pixabay.com, copyright by 422737, 445157, CC0 1.0

Cosa fare se non sai più come procedere?

La quantità d’informazioni e obblighi che devono essere tenuti in considerazione, il comportamento corretto, la preparazione e la conduzione delle certificazioni possono essere davvero tante e difficili da gestire. Quindi è molto facile perdere la rotta. Poiché, per te, molto dipende da una certificazione di successo è utile farti consigliare e supportare da qualcuno che sa come funziona. E poiché l’introduzione del GDPR non risale a tanto tempo fa, per te sarebbe la prima volta che affronti la certificazione? Oppure stai pensando di aderire ad un codice di condotta? Niente panico!

Noi di WB Trade-it possiamo aiutarti. Come azienda di servizi con molti anni di esperienza conosciamo molto bene le varie certificazioni e processi. Siamo lieti di assisterti con il nostro team di esperti  e attendiamo il tuo messaggio.

Dopo il GDPR arriva il regolamento e-Privacy

Dopo il GDPR arriva il regolamento e-Privacy

Se anche tu non vedevi l’ora di riposarti, dopo aver implementato con successo nella tua azienda il GDPR, non è purtroppo ancora giunto il momento. Perché ti attende già la prossima sorpresa: in arrivo il regolamento e-Privacy che è quasi pronto per il via.

Perché un ulteriore regolamento?

Il previsto regolamento e-Privacy non è un’idea nuova. Tuttavia giunge ora a causa della crescente digitalizzazione, più sviluppata. Questo regolamento è più o meno un regolamento speciale con riferimento ad una parte precisa del GDPR, cioè la comunicazione elettronica.

Dopo il GDPR arriva il regolamento e-Privacy
Fotografia: Pixabay.com, copyright by TBIT, 1203603, CC0 1.0

Originariamente sarebbero dovuti entrare in vigore tutti e due i regolamenti, contemporaneamente. Purtroppo l’UE è in ritardo con le bozze del regolamento e-Privacy e con la relativa timeline. Finora il settore era regolamentato all’interno della Direttiva delle comunicazioni elettroniche (Direttiva 2002/58/CE) del 12 luglio 2002 che adesso deve essere disciplinato nuovamente dal regolamento e-Privacy. Con che cosa dobbiamo confrontarci quando arriva il regolamento e-Privacy?

Che cosa tratta il Regolamento e-Privacy?

La direttiva e-Privacy vuole in generale garantire, a livello europeo, la protezione dei diritti e delle libertà fondamentali, la riservatezza delle comunicazioni e la tutela dei dati a carattere personale nel settore delle comunicazioni elettroniche.  Inoltre, dovrà sostituire i regolamenti della legge delle Telecomunicazioni (TKG) e la legge dei Media televisivi (TMG).

La direttiva sarà poi, analogamente al GDPR, valida immediatamente in tutti gli stati membri della Unione Europea e sarà modificabile, nelle clausole di apertura, da ogni stato membro. Il regolamento e-Privacy dovrebbe occuparsi non solo dei dati personali ma anche dei dati non personali e dovrà proteggere sia persone giuridiche sia persone fisiche.

Quali forme di comunicazione elettroniche ne fanno parte?

Si tratta soprattutto di tracking e targeting, servizi di Messaging, servizi di freemail, Cookies e altre comunicazioni via Internet. Sono quindi coinvolti innanzitutto gli accessi Internet, compresi la telefonia via internet e i social-media, oltre al messaging personale, ai servizi di instant-messaging e ai servizi di E-Mail basati sul web.

In che modo il ePrivacy- Regolamento coinvolge le aziende?

La tua azienda è particolarmente colpita dal nuovo regolamento se ti occupi di Online-Marketing o pubblicità diretta. Infatti, nel momento in cui entrerà in vigore il nuovo regolamento, dovrai prestare ulteriore attenzione alla realizzazione della tua pubblicità sui mass-media, che dovrà essere conforme al regolamento.

È importante che i tuoi Cookies e il tuo Tracking siano eseguiti legalmente e conformi al regolamento, per evitare le sanzioni. Inoltre, ciò riguarda naturalmente tutta la tua  comunicazione via E-Mail.

I contenuti più importanti

Quando arriva il regolamento e-Privacy?

Fino ad ora non è ancora stato approvato un regolamento definitivo e ci sono soltanto diverse bozze. Tuttavia, alcuni punti saranno particolarmente importanti. Tra questi il diritto all’oblio. Gli utenti possono, in questo modo, revocare il loro consenso all’utilizzo dei dati in qualsiasi momento e essere rimossi dal database dell’azienda.

Il divieto

Inoltre il divieto di accoppiamento, tra consensi e servizi, sarà ulteriormente sviluppato. Perché le aziende non possono, già adesso, limitare la visibilità dei contenuti della loro pagina internet al consenso del visitatore.

Soprattutto le aziende che si occupano di pubblicità diretta incontreranno maggiori  difficoltà. Infatti, le persone fisiche non potranno più essere disturbate da pubblicità, che corrisponderà a “comunicazione non richiesta”. Inoltre, i clienti dovranno avere la possibilità di obiettare alla ricezione di pubblicità. Anche le impostazioni della Privacy dovranno essere ottimizzate. Il browser deve rimanere facilmente accessibile. Per questo sarà necessario aumentare la protezione agli accessi non autorizzati.

Nel campo della telefonia sarà introdotta la soppressione dei numeri di telefono. Il numero sarà visibile e inserito negli elenchi telefonici soltanto se l’utente lo consente in modo esplicito.

Caso speciale: Cookies

L’elaborazione e conservazione dei dati utenti durante il tracking e targeting, così come dei Cookies, quindi come ad esempio l’amato Google Analytics, è vietato per le aziende se l’utente non ne consente esplicitamente l’uso. Un grosso problema per il reparto marketing di ogni azienda che dipende dalle tecniche di analisi di mercato in rete.

Tuttavia, ci saranno delle eccezioni. Perché i gestori dei siti internet possono registrare i Cookies indispensabili per il corretto funzionamento del sito. Già adesso esiste la generalmente conosciuta soluzione opt-out, mediante la quale l’utente viene informato che il gestore vuole registrare dei dati. A questo punto, l’utilizzatore può decidere se acconsentire o meno ai Cookies.

L’attuale bozza del regolamento

L’attuale bozza del più restrittivo regolamento e-Privacy (articolo 8) prevede che ogni registrazione di dati, da parte dell’apparecchio del gestore finale, e qualsiasi elaborazione e salvataggio, sia vietata.  In più sarà vietata la registrazione di informazioni attraverso l’apparecchio finale utilizzato.

La critica al concetto

L’aumento della tutela della privacy, per l’utilizzatore, è molto positivo. Tuttavia, poiché sono particolarmente colpiti, da questo argomento, i reparti marketing delle aziende, il previsto regolamento non è ben visto dalle imprese. Tale regolamento vuole ottenere, tra l’altro, che ogni utente dia l’esplicito consenso all’utilizzo dei dati per pubblicità, affinché sia legale. E chi di noi vuole essere continuamente inseguito dalla pubblicità?

Quindi le grandi società, comprensibilmente, non sono particolarmente soddisfatte delle restrizioni previste. I Responsabili per la protezione dei dati e chi tutela i consumatori invece sono felici e si impegnano per un aumento della protezione dei dati e per l’introduzione di regolamenti più severi.

Ritardo nell’implementazione

Nel frattempo sono già depositate, a Bruxelles, molte bozze per la direttiva  e-Privacy di cui però nessuna è stata ancora implementata. Allo stato attuale sembra che non ci si possa aspettare una bozza finale prima della fine dell’anno 2019.

Non prendere la E-Privacy alla leggera

Se arriva il nuovo Regolamento e-Privacy diverrà inevitabilmente, e con lui la tutela della privacy, più severo e dovrà essere programmato con estrema attenzione. Infatti, in caso di inosservanza della normativa, sono previste sanzioni e richieste di risarcimento elevate, analogamente al GDPR. Ciò può essere molto costoso, perché le multe potranno arrivare fino a 20 milioni di Euro.

La preparazione con il supporto professionale

Al momento non è ancora chiaro quando sarà varato il Regolamento e-Privacy. Tuttavia, analogamente al GDPR, è fondamentale pianificare e prepararne bene l’implementazione.  Siccome l’esperienza ha dimostrato che ciò richiede molto tempo e presenta una sfida completamente nuova per qualsiasi azienda, è utile consultare gli esperti del settore. Conviene soprattutto iniziare in tempo, per non trovarsi sotto pressione o in ritardo con l’implementazione.

Fotografia: Pixabay.com, copyright by geralt, 571157, CC0 1.0

In particolar modo, commercianti o negozi online dovrebbero già pensare a come attuare le norme più severe.  Ma anche aziende che già oggi lavorano con i metodi di tracking e online-marketing, dovranno attivarsi. Noi consigliamo sempre di prepararsi in tempo, come anche ora che arriva il regolamento e-Privacy.

WB Trade-it è a vostra disposizione per questi servizi con il proprio team di esperti. Grazie all’esperienza pluriennale in diverse aree aziendali e, in particolare, con il GDPR, siamo felici di aiutarvi e consigliarvi, accompagnandovi nella preparazione, l’implementazione e, successivamente, nell’adeguamento e aggiornamento.