10 importanti misure di protezione per un buon adeguamento al GDPR

Per ogni azienda arriva inevitabilmente il punto in cui deve essere conforme al GDPR. Nuove Start-up e fondatori di società appena costituite si trovano ora, molto tempo dopo l’introduzione del GDPR, di fronte al problema della sua implementazione, che altri hanno già superato. Ma come approcciare al meglio l’argomento?

Foto: Pixabay.com, copyright by Stephan1982, 1894351, CC0 1.0

Come procedere al meglio con l’adeguamento?

Se ti trovi di fronte al compito di rendere i tuoi processi aziendali conformi al GDPR ti chiederai da dove cominciare e dove finire. Il problema è che non esiste una checklist onnicomprensiva che tenga conto di ogni piccolo dettaglio e che si applichi automaticamente ad ogni azienda.

Invece è importante, dopo un’approfondita analisi delle tua attività in azienda, trovare le misure di protezione adeguate e commensurate alla tua azienda. Ad esempio, le grandi aziende, con molteplici ingressi, devono pensare ad una protezione diversa rispetto a un libero professionista che lavora in un piccolo ufficio o da casa, con una sola porta d’ingresso. Analogamente, si deve usare lo stesso orientamento per ogni singolo reparto interessato.

Di seguito abbiamo elencato le 10 più importanti misure che devi necessariamente prendere in considerazione nella pianificazione della tua protezione dei dati. A proposito delle misure ci sarebbe da dire molto di più di quanto consenta questo articolo che, perlomeno, ti offre una panoramica delle cose più importanti a cui dovresti pensare.

La lista, sfortunatamente, non può essere esaustiva. Sentiti libero di contattare il nostro team di WB Trade-it per concordare un appuntamento per una prima consulenza. Potremo definire, congiuntamente, un progetto di adeguamento, con tutte le misure di sicurezza da seguire, su misura per la tua azienda.

MTO – misure tecniche e organizzative – art. 32 GDPR

Il fatto che sia necessario adottare delle misure tecniche e organizzative è regolato dall’articolo 32 del GDPR. Nell’articolo vengono menzionati per esempio la pseudonimizzazione, la cifratura, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, la capacità di ripristinare i dati, la documentazione per iscritto e il controllo regolare.

Le misure tecniche in questo contesto riguardano tutte le misure “fisiche” come per esempio:

  • Regolamentazioni di accesso (recinzioni, protezioni strutturali, protezioni per finestre e porte)
  • Sistemi di allarme
  • Specifiche indicazioni tecniche per la password e la sua complessità
  • Protezione aggiuntiva tramite identificazione (dati biometrici)
  • Pseudonimizzazione e crittografia dei dati personali
  • Impostazione e protezione degli account dell’utente
  • Creazione di registri di accesso automatici

Inoltre, esistono anche misure organizzative che fanno riferimento alle istruzioni procedurali e alle istruzioni del personale. Di questi fanno parte per esempio:

  • Il principio a quattro occhi per un controllo multiplo
  • Requisiti per la registrazione dei visitatori
  • Politiche che regolano la gestione, l’accesso e l’uso dell’IT, di Internet e dei dispositivi mobili
  • Istruzioni per lo smaltimento dei documenti conforme alla privacy
  • Impegno di riservatezza

10 importanti misure

Regolamento – Password

È molto importante, e anche piuttosto comune in ambiti privati, proteggere il PC con una password. Il tuo reparto IT può installare un programma che imposta i requisiti minimi che deve avere una password (quanti caratteri o simboli speciali) e a quali intervalli deve essere cambiata la password. Inoltre, questi programmi fanno sì che le password già utilizzate non possano più essere impiegate.

Regolamento – accesso fisico

Ciò include il controllo e la determinazione di quali persone hanno accesso a quali edifici o stanze, come, per esempio, nella sala server. In aziende piccole con soltanto una porta di ingresso, nella quale lavorano solo una manciata di persone in un ufficio unico e dove non esistono tante altre stanze, può capitare facilmente che questa misura di sicurezza venga dimenticata. In queste aziende, è molto comune che ognuno si muova liberamente e ovunque.

Regolamento – accesso virtuale

Questa misura prevede che tu specifichi necessariamente chi può accedere a quali dati. Non tutti dovrebbero essere in grado di accedere a qualsiasi PC e non tutti i computer dovrebbero avere installato lo stesso software. Un dipendente di produzione non deve avere la possibilità di accedere ai dati personali dei dipendenti, anche perché non ha il programma necessario o perché non ha le credenziali per accedere. Questo può essere regolato dal tuo reparto IT con l’installazione di diversi programmi per ogni pc e con il piano di autorizzazione degli accessi ai diversi dati.

Archiviazione dei dati

I tuoi dati (file elettronici e cartacei) devono essere archiviati secondo specifiche indicazioni e conservati per l’utilizzo quotidiano. Le persone esterne all’azienda non devono poter accedere ai dati per nessun motivo, mentre il personale interno può farlo solo secondo necessità e con opportuna autorizzazione. Qui entrano in gioco gli armadi chiudibili a chiave e a prova di fuoco, oltre a un buon firewall e programma di anti-virus per la protezione elettronica.

Regolamento – visitatori

Deve essere definito esattamente chi può accedere alla tua azienda, quando, dove e come si svolge la visita. I visitatori dovrebbero essere ammessi solo dopo la registrazione, accompagnati da personale addetto e avere accesso solo a determinate aree.

Limitazione dati

Devi determinare quali dati ti servono per lavorare. I dati non importanti non vanno nemmeno richiesti ai clienti e o fornitori e, di conseguenza, neanche archiviati. I dipendenti devono, inoltre, controllare con regolarità quali dati possono essere distrutti e/ o eliminati. Puoi lavorare in modo efficace soltanto se tutti i tuoi dati sono aggiornati.

Controllo degli elaboratori di dati personali

Se devi inoltrare i dati personali a fornitori di terze parti per un’ulteriore elaborazione, dovrai concordare in che modo procedere con la trasmissione dei dati. In particolar modo, questo controllo include l’esame della conformità al GDPR e la stipula di un contratto per l’elaborazione, come previsto nell’articolo 28 GDPR. Inoltre, anche i regolamenti e la conservazione dei contratti devono essere regolati da te.

Regolamento – Video-sorveglianza

Attraverso la video-sorveglianza raccogli e memorizzi informazioni personali. Per questo è necessario il consenso degli interessati. Perciò devi regolamentare precisamente dove posizioni le videocamere, in che modo e dove informi i tuoi dipendenti, i visitatori e i clienti che vengono ripresi, e per quale motivo e per quanto tempo conservi di dati.

Regolamento – caso emergenza

In caso di danni causati dall’acqua o da un incendio, ma anche in caso di interruzioni di corrente, i tuoi dati potrebbero essere in pericolo. Hai sicuramente bisogno di un piano di emergenza, e devi definire in anticipo cosa fare in caso di violazione dei dati (databreach). Anche senza evocare simili scenari drammatici, un piano di emergenza deve regolare anche la reperibilità delle persone incaricate per un eventuale contatto. Deve essere chiaro chi, quando e come è raggiungibile e come è in grado di fornire informazioni. A tutto ciò si aggiungono, inoltre, i dati di contatto delle autorità o degli interessati per lo scambio di informazioni e il regolamento IT: vale a dire, chi può ripristinare i dati e come?

Regolamento- distruzione dati

La distruzione dei dati necessita anche di regolamenti interni. Questi devono essere conformi ai livelli di sicurezza della norma DIN 66399, in cui viene regolata la misura di distruzione dei supporti di dati (in particolare carta) affinché possano essere smaltiti in conformità al GDPR. Oltre alla carta con dimensioni prescritte, anche i DVD, le chiavette USB e gli hard disk del server possono essere smaltiti una volta scaduto il termine legale minimo del periodo di conservazione.

Foto: Pixabay.com, copyright by ReadyElements, 3509495, CC0 1.0

Informazioni e aiuti

Le misure di protezione sono solo illustrative e non esaustive. Se vuoi metterti legalmente al sicuro, saremo felici di aiutarti con il nostro team di WB Trade-it. Insieme possiamo trovare soluzioni che si adattano perfettamente alla tua situazione e con le giuste misure per la tua azienda.

Da un anno sei conforme al GDPR… ma va ancora tutto bene?

Gli obblighi del GDPR dovrebbero essere stati implementati, in tutte le aziende che elaborano dati personali, sin dal maggio 2018. Sei riuscito a fare tutto in tempo? Ottimo! Ma com’è messa ora la tua conformità al GDPR? La domanda ti sembra forse strana ma, una volta implementato, il sistema non è autoregolante. Quindi, che cosa puoi fare per controllare che i tuoi processi e la tua azienda siano ancora conformi al Regolamento?

Ancora conforme al GDPR?

I 4 punti più importanti che devi ricordare

Da quando ti sei adeguato al GDPR, possono essersi verificati dei cambiamenti: possono essere state introdotte regole aggiuntive al GDPR; la tua azienda è cresciuta nel frattempo e hai acquisito un nuovo sistema IT poiché quello vecchio è diventato obsoleto; oppure hai assunto del personale nuovo che non ha partecipato alla formazione iniziale sul GDPR. Vedi che, in tutti o solo alcuni ambiti, potrebbe diventare un problema? Quindi, che cosa dovresti fare?

Le cose importanti sono:

  • Una revisione regolare (Checkup) e un’analisi dei tuoi processi.
  • L’introduzione di un sistema di data-management.
  • La formazione regolare di tutti i dipendenti.
  • Effettuare un Audit cosi come da articolo 42 del GDPR.

Checkup e analisi dei tuoi processi

Una volta adeguati al GDPR, i tuoi processi dovrebbero funzionare. Nella maggior parte dei casi, però, non lo fanno senza intoppi, poiché solo nella pratica si evidenziano i punti da ottimizzare. Ciò accade anche se le bozze di procedure sembrano, nella teoria, perfette e funzionanti. Infatti, non appena i dipendenti li implementano nella loro routine quotidiana di lavoro, notano quali criticità non sono ancora state risolte in modo soddisfacente.

Spesso, queste cose si notano quando si deve elaborare un caso particolare, che si verifica raramente e che, a quel punto, non è semplice da gestire. Questo riscontro è molto utile e ti permette di aggiustare i punti non perfettamente funzionanti.

Oltre ai riscontri dei tuoi collaboratori, anche il responsabile per la protezione dei dati (RPD) deve esaminare costantemente questi processi e proporre modifiche e miglioramenti. Perché lui è, in base all’articolo 39 GDPR, incaricato di “sorvegliare l’osservanza del regolamento”.

Pertanto, è utile lavorare in modo attivo all’analisi dei processi aziendali e assicurarti di ciò su cui puoi intervenire rapidamente, prima che si possa verificare una violazione dei dati.

Introduzione di un sistema sostenibile della gestione dei dati (DMS)

L’analisi e il controllo sono buone opzioni per te, ma non dovrebbero essere eseguite a intermittenza, magari solo quando ti capita, per caso, di avere un pò di tempo. Pertanto è meglio, oltre che ad essere previsto dal GDPR, introdurre un sistema di gestione dei dati sostenibile.

Per il GDPR ciò significa, per esempio, che oltre all’incaricare un Responsabile per la protezione dei dati (RPD), anche le tue misure tecniche e organizzative, ai sensi dell’articolo 32 GDPR, siano costantemente aggiornate.

Devi rispettare il tuo obbligo di prova, tenendo un registro di tutte le attività di trattamento, ai sensi dell’articolo 30 GDPR. Inoltre, in conformità con l’articolo 35 del GDPR, è necessario preparare una valutazione d’impatto sulla privacy, in cui si esaminano attentamente i rischi e le conseguenze delle misure di trattamento previste.

È anche importante che organizzi adeguatamente la tua gestione dei contratti. Se consenti ai tuoi fornitori di servizi di elaborare i dati dei tuoi clienti o dipendenti, assicurati di stipulare prima un contratto con tali fornitori per questi trattamenti, come ai sensi dell’articolo 28 del GDPR. Il contratto deve garantire che il fornitore adotti le misure tecniche e organizzative adeguate al fine di salvaguardare i diritti delle persone interessate.

Formazione regolare di tutti i dipendenti

Tutti i dipendenti coinvolti nel trattamento dei dati personali devono essere formati in modo continuo. Poiché devi prestare attenzione al fatto che nella tua azienda in nessun posto di lavoro s’ignori la protezione dei dati, è importante che tutti i dipendenti siano sensibilizzati allo stesso livello.

La formazione costante dei collaboratori ti aiuta anche nel caso in cui tu debba spostare o sostituire qualche dipendente con breve preavviso. In questa situazione non ti puoi permettere che il sostituto non abbia mai sentito parlare della privacy. Per inciso, la formazione continua e la formazione degli impiegati sono comunque essenziali per la tua azienda, non solo nel contesto del GDPR.

I corsi di formazione sono solitamente organizzati dal Responsabile per la Protezione dei Dati, anche se non è obbligato a tenerli personalmente. Ci sono specialisti che svolgono questa formazione in loco. Ma puoi anche utilizzare la formazione online oppure le offerte della Camera di Commercio o dell’Industria locale.

È quindi necessario documentare la partecipazione a questi corsi di formazione come parte della prova e della responsabilità ai sensi dell’articolo 5 GDPR.

Esecuzione di un audit conforme al GDPR (art.42)

Per dimostrare ai tuoi clienti e fornitori che, da te, i dati si trovano in buone mani perché li gestisci in modo responsabile e perché rispetti gli obblighi del GDPR, è utile e positivo se puoi esibire una certificazione. Tale certificazione è ottenibile, conformemente alle disposizioni del GDPR (art. 42), da un organismo di certificazione accreditato (art. 43 DGPR).

La certificazione deve essere volontaria e accessibile attraverso un processo trasparente e non ti esonera dalla responsabilità di rispettare gli obblighi del GDPR. Per questi audit devi fornire all’organismo di certificazione tutte le informazioni necessarie. La certificazione ha una validità di 3 anni e può essere rinnovata se continui a mantenere gli stessi standard (per ulteriori informazioni riguardo la certificazione, leggi il nostro articolo “Codice di condotta e certificazioni di qualità per osservare gli obblighi del GDPR”)

In linea di principio, questi audit non sono una novità perché sono già stati effettuati in passato, sotto il nome di “Data Protection Audit”, al fine di verificare e dimostrare la conformità dell’azienda con il codice della privacy. La procedura oggi e simile: attraverso l’uso di uno specifico questionario vengono controllati e provati i processi della tua azienda.

Ad esempio, viene controllato com’è strutturata la tua organizzazione e come è fatto il tuo piano di protezione dei dati. Ma anche il controllo degli accessi per le persone non autorizzate o l’accesso fisico ad ambienti e il controllo degli accessi ai PC sono esaminati attentamente. E, ovviamente, va controllato se sei obbligato a incaricare un Responsabile per la Protezione dei Dati (RPD) e se tale figura, nel caso, esiste.

Come puoi mantenere il focus su tutto?

L’implementazione del GDPR nelle aziende è stato un grande sforzo per titolari e dipendenti. La revisione e il controllo regolare pongono ora nuove sfide a tutti. In fin dei conti, nessuno vuole rischiare accidentalmente una multa salata perché qualcosa è stato ignorato – almeno finché non è troppo tardi.

GDPR-Audit per mantenere il controllo

Quindi, ha senso cercare un aiuto professionale. Noi, con il nostro team di esperti, affrontiamo ogni sfida. Il nostro personale competente è disponibile in qualsiasi momento e ti aiuta con l’analisi dei tuoi processi, con gli adeguamenti necessari e con la formazione dei tuoi dipendenti. Siamo felici di consigliarti sui nostri servizi, supporti e prodotti.

DPO- il partner giusto

Come trovi il RPD – Responsabile della Protezione dei Dati – più giusto per te?

Il GDPR contiene una serie di nuovi requisiti che dovevano essere implementati dalle aziende sin dalla sua entrata in vigore, a maggio 2018. Tuttavia, un lavoro “una tantum” non è sufficiente, perché i tuoi processi devono essere continuamente adeguati e aggiornati al regolamento, sia dal punto di vista tecnico che da quello organizzativo.

DPO- il partner giusto
RPD – DPO come trovare quello giusto?

Che tutto funzioni al meglio e che sia controllato correttamente non dipende soltanto da te, come direttore generale o proprietario d’azienda, ma anche dal tuo Responsabile per la Protezione dei Dati – RPD (DPO Datat Protection Officer) . Infatti, devi nominare un RPD, come definito nell’articolo 37 GDPR, se le tue attività aziendali principali consistono in trattamenti su larga scala o di categorie particolari di dati personali, di cui all’articolo 9 GDPR .

Dove cerco un RPD o DPO esterno?

Fondamentalmente, hai due possibilità. Innanzitutto, devi prima decidere se incaricare un dipendente interno per questa posizione o trovare un Responsabile per la Protezione dei Dati esterno.

A che cosa devi prestare attenzione?

Internamente, in genere, farai fatica ad individuare un dipendente già pronto con le qualifiche richieste. Dovrai quindi considerare di fargli frequentare opportuni corsi di formazione. I corsi, non solo costano soldi ma impegnano il tuo collaboratore anche molto tempo. Inoltre, considera che il neo-RPD avrà probabilmente acquisito la necessaria conoscenza di base, ma non avrà ancora sviluppato alcuna esperienza nel settore. Le abilità si sviluppano solo nel tempo!

Viceversa, un fornitore di servizi esterni è l’ideale per le piccole e medie imprese e consente anche di risparmiare sui costi. Questi fornitori di servizi hanno già anni di esperienza nel settore specifico. Esiste un numero indefinito di società di servizi e avvocati che si offrono come Responsabili esterni della protezione dei dati. Purtroppo, spesso di fronte a una così vasta offerta è difficile decidere per l’RPD più adatto alle proprie esigenze.

Le opzioni per trovare un RPD adatto.

Anche in questo caso hai due opzioni “ufficiali” a disposizione. Puoi, per esempio, trovare un esperto della protezione dei dati tramite il TÜV Italia. Il TÜV è conosciuto e quindi affidabile.

È inoltre possibile contattare l’associazione professionale dei Responsabili della protezione dei dati  Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. oppure l’associazione Federprivacy. Tramite queste organizzazioni puoi ottenere gli elenchi dei membri professionisti e prendere contatto con uno di loro.

È anche utile consultare amici e conoscenti che possono raccontarti le loro esperienze, positive o negative, con determinate aziende. In fondo, è importante che tu scelga qualcuno che sia competente, che ti sia gradevole e con il quale poter costruire una buona e duratura cooperazione sulla base di reciproca fiducia.

Quali qualifiche deve avere il DPO?

Le qualifiche richieste sono menzionate nell’articolo 37 (5) GDPR: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.”

Inoltre, il considerando 97, relativo all’articolo 37, aggiunge, alla conoscenza specialistica che il ruolo richiede, conoscenze specifiche sulle operazioni di trattamento e protezione dei dati personali utilizzati.

Quali ambiti di competenza deve coprire?

I compiti che il Responsabile della protezione dei dati deve svolgere, nel corso della sua attività, sono descritti dettagliatamente nell’articolo 39 del GDPR. Questi includono, per esempio:

  • Informare e fornire consulenza al titolare del trattamento e ai dipendenti.
  • Sorvegliare l’osservanza del Regolamento GDPR.
  • Fornire un parere in merito alla valutazione d’impatto.
  • Cooperare con l’autorità di controllo.
  • Fungere da punto di contatto per l’autorità di controllo.

Di conseguenza, la sua attività è piuttosto ampia e interdivisionale. È quindi un vantaggio se ha profonde conoscenze sia in questioni legali, sia organizzative che di programmazione IT. (scarica il nostro e-Book)

A proposito: giacché il responsabile della protezione dei dati è pur sempre un essere umano che potrebbe commettere un errore, sarebbe bene se verificassi se ha un’assicurazione di responsabilità civile. Tale assicurazione coprirebbe, nella peggiore delle ipotesi, i danni che potrebbe causarti.

Come scelgo il giusto RPD?

A questo punto, non soltanto devi selezionare un Responsabile della Protezione dei Dati esterno qualificato, ma devi anche valutare altri aspetti. In particolare, da quale ambito professionale dovrebbe provenire il DPO? Dovrebbe essere un avvocato o uno specialista IT? E infine, il professionista più economico è sempre peggio di un esperto più costoso?

Chi è meglio come DPO: un avvocato o uno specialista IT?

Sul mercato sono disponibili diversi corsi certificati, ma non è prevista una formazione obbligatoria per i Responsabili della Protezione dei Dati (RPD). La tua scelta potrebbe quindi orientarsi verso un avvocato che sicuramente padroneggia perfettamente la parte legale della gestione dei dati.

Oppure, potresti optare per uno specialista IT che conosca molto bene i Software, l’Hardware e i vari programmi. Ma la gestione della privacy è principalmente organizzazione piuttosto che programmazione tecnica, motivo per cui non è nemmeno possibile sfruttare appieno la conoscenza approfondita dello specialista IT.

Attenzione: Il tuo fornitore usuale di servizi IT, che arriva quando la tua stampante smette di funzionare o i tuoi dati nel sistema sono scomparsi, non può diventare contemporaneamente il Responsabile della Protezione dei Dati perché gli mancano l’obiettività e la neutralità necessarie. Infatti, ovviamente preferirà i programmi e i processi da lui introdotti, e quindi potrebbe trascurare soluzioni alternative.

L’avvocato sembrerebbe quindi la scelta migliore in quanto i rapporti con le autorità di controllo si svolgono molto sul piano legale. Ricorda che sono richieste una conoscenza e esperienza specifica che non si possono apprendere attraverso un semplice corso di formazione. Per contro, un avvocato purtroppo non ne sa abbastanza di problemi informatici o di misure organizzative di protezione. Pertanto, un fornitore di servizi che copre tutte le discipline e ti offre un team qualificato di avvocati e specialisti IT è la scelta migliore per te. Grazie a questo backround, il fornitore di servizi può fornire la riposta o la soluzione legale o tecnica giusta in ogni situazione.

Meglio un DPO economico o uno costoso? (art.37-39)

Questa domanda è molto popolare, ma qual’ è il tuo limite personale tra economico e costoso? Ci sono buoni professionisti economici e cattivi professionisti costosi, quindi per te dovrebbe essere logico scegliere l’intero pacchetto. Ma devi tener conto del fatto che l’istruzione e la formazione continua dei bravi DPO non è economica! Un esperto che investe costantemente nella propria istruzione non può offrirti prezzi ridicoli. Semplicemente, non sarebbe conveniente per lui. Prezzi troppo bassi dovrebbero indurti a riflettere.

Pensa ad un buon avvocato che dovrebbe salvarti dalla prigione. Certamente di fronte a tale possibile punizione (che, in senso figurato, nel GDPR è rappresentata da una enorme multa), ricercheresti il migliore difensore e, se necessario, senza badare a spese! È sempre pericoloso scegliere un partner solo per risparmiare, perché ciò alla fine ti può costare caro.

In ogni caso dovresti prestare attenzione a:

  • Che cosa ti viene offerto per i tuoi soldi?
  • Il fornitore di servizi è sufficientemente qualificato e ha molti anni di esperienza pratica e approfondite conoscenze specialistiche?
  • È sempre reperibile per te?
  • Ti consiglia in modo esaustivo e comprensibile e ti offre un buon servizio personale oltre ad un supporto telefonico e via e-mail?

L’agonia della scelta – possiamo convincerti?

Se non sei sicuro su quale sia il fornitore di servizi esterno più adatto a te, allora lasciati semplicemente consigliare da noi.

Cyber Security
Cyber Security and Digital Data Protection Concept.

Noi ti possiamo aiutare in ogni caso, indipendentemente dalla tua decisione. Nel nostro team abbiamo membri esperti e con conoscenze sia giuridiche sia tecniche professionali. Quindi potrai beneficiare in ogni caso della collaborazione di entrambi! Inoltre possiamo fornirti il tuo Responsabile per la Protezione dei Dati (RPD) oppure formare i tuoi collaboratori, se desideri sceglierne uno tra i tuoi dipendenti adatto per questo ruolo.

Una cooperazione di fiducia e a lungo termine, una reperibilità costante e un buon servizio sono per noi di dovere. Il nostro team, composto da molteplici esperti, offre numerosi servizi e diversi corsi di formazione inerenti al GDPR, tutti fruibili con la formula “chiavi in mano”. Siamo felici di spiegarti, in un colloquio personale, i nostri servizi e soluzioni su misura per le tue esigenze!

GDPR - cloud service security

Quando un servizio Cloud é conforme al GDPR?

Cloud service e GDPR

Le grandi aziende lavorano, giustamente, con i sistemi ERP e memorizzano i loro dati in Cloud. Tuttavia, un lavoro efficace, rapido e conveniente potrebbe essere eseguito a discapito della sicurezza. Infatti, spesso i server su cui sono archiviati i dati nel cloud si trovano all’estero e, di conseguenza, non sono necessariamente soggetti alle rigorose condizioni europee sulla protezione dei dati. Ma questa è solo una delle cose importanti di cui devi essere a conoscenza riguardo gli obblighi del GDPR, quando lavori con il cloud.

Quali sono i requisiti necessari perché il cloud sia considerato sicuro e i servizi in cloud siano ritenuti conformi al GDPR?

Pro e contro del Cloud

Prima di esaminare quando un servizio cloud sia conforme al GDPR, diamo un’occhiata a cosa prevedete questo servizio. Se cosi tante persone amano lavorare con il cloud, deve anche avere molti vantaggi, giusto? Esistono anche svantaggi o rischi? E quali sono?

I vantaggi e gli svantaggi del cloud sono leggermente diversi tra utenti privati e utenti di grandi aziende. Poiché qui trattiamo le esigenze della tua azienda, ci limitiamo ad esaminare queste ultime. Ovviamente puoi risparmiare un sacco di soldi attraverso i servizi cloud in termini di servizi esterni, personale e hardware. Paghi mensilmente per i servizi cloud un importo pre-stabilito e calcolabile e inoltre non hai costi interni per la manutenzione o i server e il personale dedicato, perché tutto ciò viene effettuato dal fornitore del servizio cloud. In più, il tuo software è sempre aggiornato.

Lo svantaggio è che dipendi completamente dal fornitore, e che lui potrebbe distruggere il tuo lavoro, nel caso di una sua bancarotta. Anche in termini di servizio, devi sperare che tu possa sempre raggiungere qualcuno che ti aiuterà in caso di bisogno. Un altro problema potrebbe essere la connessione Internet. Se hai collegamenti mal funzionanti, la connessione diventa inaffidabile e senza dati non puoi lavorare.  Inoltre, non è chiaro se e quando sia necessario adeguare i tuoi sistemi IT al software del provider. Tuttavia, il rischio maggiore è la protezione dei dati, se il server si trova all’estero e non è vincolato dal GDPR.

Utile: anche il servizio Cloud deve essere conforme al GDPR

Non solo tu, ma anche il fornitore di cloud italiano o europeo è vincolato dal GDPR. Il suo servizio Cloud deve essere conforme al GDPR. Questo è un vantaggio per te perché il fornitore, per conto proprio, garantisce sia misure tecniche che organizzative di tutti suoi processi e, di conseguenza, anche i servizi Cloud proposti saranno conformi al GDPR. Se utilizzi un simile servizio cloud, allora sei dalla parte sicura.

A che cosa prestano attenzione i Cloud Provider?

Proprio come te, i servizi cloud devono prestare particolare attenzione all’articolo 5 del GDPR che stabilisce che gli interessati devono aver precedentemente acconsentito al trattamento dei dati personali. Inoltre, l’elaborazione deve essere cosi trasparente da essere comprensibile per le persone interessate.

In più, come da art. 32 del GDPR, i servizi cloud devono essere sempre all’avanguardia e aggiornati all’ultimo stato dell’arte. I fornitori cloud devono continuamente ottimizzare, migliorare e adeguare i loro programmi e processi per garantire il massimo livello di sicurezza.

Affinché gli utenti possano gestire il programma, il provider deve prestare attenzione ai termini di “Privacy by Design” e “Privacy by Default”. Questi obblighi sono previsti dall’articolo 25 del GDPR e significano che le impostazioni del programma devono essere non solo rispettose della privacy, ma anche di facile utilizzo. (Trovi informazioni dettagliate al proposito nel nostro articolo GDPR: una volta implementato, tutto a posto?“)

Chi è responsabile per l’elaborazione dei dati in Cloud?

Attenzione a non commettere l’errore di pensare che il servizio cloud abbia già sistemato tutto e che, nel caso, puoi biasimarlo per una violazione dei dati. Sfortunatamente non è così. Perché quanto a responsabilità, entrambi tu e il cloud provider siete tenuti a rispettare gli obblighi del GDPR. Ed è inoltre consigliato avere la conferma scritta da parte del provider del Cloud che il servizio sia conforme al GDPR.

Gli articoli 5, 28, 30 e 35 del GDPR comportano obblighi di responsabilità, secondo i quali l’utente del cloud è responsabile di garantire che tutti i requisiti regolamentati siano soddisfatti! E questo devi essere in grado di dimostrarlo già prima dell’utilizzo e/o trattamento. Ciò include, ad esempio, la registrazione dell’elaborazione dei dati in cloud nel tuo registro dei trattamenti. In caso di dubbi, è necessario verificare l’elaborazione in cloud mediante un’analisi dei rischi (valutazione dell’impatto sulla privacy) e implementare le misure di sicurezza adeguate affinché il rischio sia minimizzato.

Se vuoi utilizzare un servizio cloud, anche se a volte non accade semplicemente cosi, come utente del servizio devi indispensabilmente dare un mandato al provider del cloud affinché possa elaborare i dati personali dei tuoi clienti e fornitori (art. 28 GDPR). Tramite l’incarico per l’elaborazione dei dati puoi garantire che il fornitore del servizio cloud soddisfi anche i requisiti del GDPR. E, come parte integrante, il cloud provider ti deve fornire tutte le informazioni necessarie per dimostrare che sia adempiente a tutti gli obblighi.

Importante per te: lavora solamente con fornitori Cloud certificati!

Se stai cercando un fornitore adatto, assicurati di lavorare soltanto con un operatore cloud certificato. Sebbene tu possa fare molti accordi con il fornitore, non puoi essere sicuro che l’azienda di servizi si attenga agli accordi. È quindi utile se ti fai consegnare un certificato che dimostri che il servizio cloud ha superato “il processo di certificazione approvato ai sensi dell’articolo 42”. (Saprai di più sulla procedura nel nostro articolo “Codice di condotta e certificazioni di qualità per osservare gli obblighi del GDPR“)

Quali alternative ci sono al Cloud?

Nonostante il rischio, il nuovo Cloud è davvero una soluzione pratica. Esiste anche un encomiabile/lodevole servizio di scambio dati (iDGARD di Uniscon) che soddisfa i requisiti del GDPR.

Cloud security

Se invece non desideri utilizzare il servizio Cloud (con un operatore europeo si dovrebbe stare abbastanza al sicuro), allora in alternativa ti resta solo la chiavetta USB, dischi rigidi esterni oppure un cloud privato attraverso un’intranet aziendale.

Quello che dovresti utilizzare, caso per caso, dipende dalla tua azienda e dai tuoi processi. La soluzione scelta deve essere adatta e coerente per te, senza complicare i tuoi processi aziendali o mettere in pericolo la protezione dei tuoi dati. Tieni presente che le chiavette USB e i dischi rigidi esterni sono supporti di memorizzazione piuttosto a breve termine, su cui i dati non sono protetti in modo illimitato.

Affinché la protezione dei dati e il lavoro in cloud siano strettamente legati ai tuoi processi aziendali, il nostro team di esperti di WB Trade-it sarà lieto di aiutarti ad allineare le tue procedure e la tua privacy al GDPR.

Ricorda, lavorare in un Cloud conforme al GDPR non per forza deve essere più costoso rispetto ad un servizio non conforme. Tuttavia, alla tua attività ciò evita danni economici e di reputazione.

Hai ancora domande o dubbi?

Contattaci e insieme troviamo la soluzione più adatta alla tua attività. La prima consulenza è sempre gratuita e senza vincoli.

Codice di condotta e certificazioni di qualità per osservare gli obblighi del GDPR

Una volta implementati i processi di gestione dei dati personali nella tua azienda è necessario monitorarli regolarmente attraverso appropriate misure tecniche e organizzative. In questo modo garantisci di rispettare gli obblighi riguardo il regolamento.

Hai mai sentito parlare del codice di condotta?

Foto: Pixabay.com, copyright by geralt, 4015001, CC0 1.0

In un’azienda, solitamente l’amministratore delegato è Responsabile per la tutela dei dati personali. Questo non cambia nemmeno incaricando un RPD (responsabile per la protezione dei dati), che deve prevalentemente controllare la corretta implementazione dei requisiti del GDPR e monitorare se la direzione persegue gli obiettivi attraverso concetti e strategie adeguati.

Ma in che modo l’Amministratore Delegato e il Responsabile per la Protezione dei Dati soddisfano correttamente i propri obblighi?

I più importanti obblighi a riguardo, nel GDPR

Il GDPR ti fornisce alcuni indizi. In primo luogo, descrive l’esatta responsabilità dell’art. 24 e fa specifico riferimento agli articoli 40 e 42. Diamo un’occhiata più da vicino a questi obblighi per scoprire che cosa significano concretamente per te.

Articolo 24 GDPR – La responsabilità del titolare del trattamento

Il legislatore spiega, in quest’articolo, che la persona responsabile deve garantire, attraverso una valutazione del rischio e adeguate misure tecniche e organizzative, che il trattamento dei dati sia conforme al GDPR. Per questo ne è richiesta inoltre la dimostrazione documentata. Come prova, occorre dimostrare l’osservanza del codice di condotta, di cui all’articolo 40, cosi come della procedura di certificazione approvata di cui all’articolo 42.

Le misure di protezione esatte non sono menzionate nel regolamento, ma puoi trovare dei riferimenti nei relativi considerando 74-77, che trattano soprattutto la valutazione del rischio.

Articolo 40 GDPR – Codici di condotta

Qui sono stati formulati 11 punti che ti spiegano quali regole di condotta devono essere elaborate dettagliatamente negli Stati membri. Questi punti sono elencati al numero 2 dove si legge:

  1. Il trattamento corretto e trasparente dei dati;
  2. I legittimi interessi perseguiti dal responsabile del trattamento in contesti specifici;
  3. La raccolta dei dati personali;
  4. La pseudonimizzazione dei dati personali;
  5. L’informazione fornita al pubblico e agli interessati;
  6. L’esercizio dei diritti degli interessati;
  7. L’informazione fornita e la protezione del minore e le modalità con cui è ottenuto il consenso dei titolari della responsabilità genitoriale sul minore;
  8. Le misure e le procedure di cui agli articoli 24 e 25 e le misure volte a garantire la sicurezza del trattamento di cui all’articolo 32;
  9. La notifica di una violazione dei dati personali alle autorità di controllo e la comunicazione di tali violazioni dei dati personali all’interessato;
  10. Il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali;
  11. Le procedure stragiudiziali e di altro tipo per comporre le controversie tra titolari del trattamento e interessati in materia di trattamento, fatti salvi i diritti degli interessati ai sensi degli articoli 77 e 79.

Queste regole sono importanti perché aiutano a soddisfare i requisiti di prova di cui agli articoli 24 e 32. Le regole sono inoltre importanti nel contesto della valutazione d’impatto sulla protezione dei dati di cui all’articolo 35.

Chi è autorizzato a stabilire queste regole?

Queste regole di comportamento sono chiamate anche “Code of Conduct” oppure  “Codice di condotta della privacy”. Sono regole elaborate, in base all’articolo 40, dalle “associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento”, per esempio da associazioni professionali come l’Albo dei Medici o l’Albo degli Avvocati, ma anche la Camera di Commercio oppure i sindacati e le associazioni dei datori di lavoro.

Le associazioni devono prima sottoporre il proprio progetto di codice di condotta elaborato all’autorità di controllo, competente per la revisione e l’approvazione ai sensi dell’articolo 55 del GDPR. Regole nazionali possono essere autorizzate e pubblicate dall’autorità autonomamente. Invece, per progetti di codici di condotta che riguardano attività di trattamento internazionali, l’autorità competente lo sottopone al comitato (art.63), tramite il meccanismo di coerenza, il quale formula un parere sulla conformità.

Chi controlla l’osservanza delle regole?

La sorveglianza è regolata dall’articolo 41. L’articolo afferma che oltre all’autorità di controllo competente (ai sensi degli articoli 57 e 58), anche un cosiddetto “organismo accreditato” controlla la conformità. L’organismo verifica regolarmente la conformità e informa l’autorità di controllo in caso di violazioni.

Articolo 42 – GDPR Certificazione

In questo articolo viene specificato che gli Stati membri e le autorità di controllo incoraggiano l’istituzione di meccanismi di certificazione e di sigilli e marchi di protezione dei dati, allo scopo di dimostrare la conformità dei trattamenti effettuati al GDPR. Nel considerando 100 viene inoltre menzionato che questi marchi e sigilli dovrebbero aiutare agli interessati “a valutare rapidamente il livello di protezione dei dati dei relativi prodotti e servizi”.

Inoltre, la certificazione deve essere volontaria e accessibile attraverso un processo trasparente. Tuttavia, solo perché sei certificato non significa che tu, in quanto responsabile, possa prestare meno attenzione alla conformità. La certificazione non diminuisce le tue responsabilità e nemmeno i compiti e poteri delle autorità di controllo.

La certificazione viene effettuata in base agli articoli 43, 58 o 63  dalle autorità di controllo competenti oppure da organismi di certificazione. Il Responsabile deve fornire all’ente di certificazione tutte le informazioni necessarie per ottenere la certificazione. La certificazione è rilasciata al titolare per un periodo massimo di tre anni e può essere rinnovata alle stesse condizioni, purché continuino a essere soddisfatti i requisiti pertinenti. Nel caso contrario la certificazione può essere anche revocata.

Articolo 43 GDPR Organismi di certificazione

Questo articolo specifica quali enti possono essere accreditati come organismi di certificazione. Gli enti certificatori devono soprattutto essere:

  • indipendenti,
  • in grado di dimostrare all’autorità di controllo di essere competenti riguardo al contenuto della certificazione,
  • impegnati a rispettare i criteri di cui all’articolo 42, 55, 56 e 63
  • dotati di procedure necessarie per l’emissione, organizzati per la revisione periodica e la revoca della certificazione e dei sigilli e marchi di protezione dei dati
  • provvisti di procedure e strutture tramite le quali possono verificare la certificazione
  • in grado di dimostrare, in modo convincente, all’autorità di controllo, che i compiti e le mansioni non comportano un conflitto d’interessi.
Foto: Pixabay.com, copyright by 422737, 445157, CC0 1.0

Cosa fare se non sai più come procedere?

La quantità d’informazioni e obblighi che devono essere tenuti in considerazione, il comportamento corretto, la preparazione e la conduzione delle certificazioni possono essere davvero tante e difficili da gestire. Quindi è molto facile perdere la rotta. Poiché, per te, molto dipende da una certificazione di successo è utile farti consigliare e supportare da qualcuno che sa come funziona. E poiché l’introduzione del GDPR non risale a tanto tempo fa, per te sarebbe la prima volta che affronti la certificazione? Oppure stai pensando di aderire ad un codice di condotta? Niente panico!

Noi di WB Trade-it possiamo aiutarti. Come azienda di servizi con molti anni di esperienza conosciamo molto bene le varie certificazioni e processi. Siamo lieti di assisterti con il nostro team di esperti  e attendiamo il tuo messaggio.

Protezione dei dati: peso o vantaggio?

Protezione dei dati – Peso o Vantaggio?

Le novità del GDPR sono state recepite dalle aziende come complicate e la loro implementazione è stata lunga e fastidiosa. Ma dal momento che si tratta di una legge che prevede sanzioni elevate in caso di inosservanza, i proprietari delle aziende non hanno avuto altra scelta che prendersene cura. Inoltre, hanno dovuto anche assolvere il compito di monitorare regolarmente i processi di protezione dei dati, adattarli continuamente e aggiornarli mediante adeguate misure di sicurezza tecniche e organizzative.

Fotografia: Pixabay.com, copyright by geralt, 1802613, CC0 1.0

Ma la Privacy non è una nuova invenzione e rappresenta, soprattutto per gli utenti e i clienti, una benedizione perché la loro privacy è ora molto più protetta. Tuttavia, è proprio vero che per le aziende la protezione dei dati è soltanto un fastidioso obbligo o porta forse anche dei benefici? E se sì, quali sono?

La privacy è davvero un peso per te?

È comprensibile che per un titolare d’azienda i nuovi obblighi e requisiti del regolamento, implementati con elevati costi e impegno lavorativo possono essere considerati come svantaggi. Dopo tutto, devono essere osservati una serie di obblighi e, soprattutto per il marketing e la pubblicità, ne derivano grosse limitazioni. Infatti, poiché il cliente deve acconsentire ogni singola azione, la raccolta dei dati e la pubblicità non possono più essere eseguite cosi facilmente.

La situazione sarà ulteriormente aggravata dall’introduzione del previsto regolamento e-Privacy che specificherà e regolerà ulteriormente le comunicazioni elettroniche. La situazione quindi è disperata? No, assolutamente! Se pianificato e gestito correttamente, l’e-privacy determina anche dei vantaggi per le aziende.

Quali benefici può trarre la mia azienda da una buona protezione dei dati?

Ridurre i costi e aumentare l’efficienza

Poiché hai già sviluppato un buon concetto di protezione dei dati per implementare il GDPR nella tua azienda, puoi ottimizzare i processi di lavoro che, con l’aiuto del RPD (Responsabile della protezione dei dati) che hai dovuto nominare, sono costantemente monitorati e ottimizzati. Di conseguenza, i tuoi processi possono essere ben modernizzati e costantemente migliorati.

Grazie a processi più snelli ed efficaci possono persino essere ridotti i costi.  Non solo attraverso un lavoro più efficiente, ma anche perché ex dipendenti, concorrenti o clienti non avranno motivi per segnalarti alle autorità di controllo ed esporti al rischio di multe salate.

Proteggi i segreti commerciali e migliora il marketing

Se i tuoi dipendenti sono sensibilizzati all’argomento attraverso una formazione specifica, potrai evitare molti errori sin dall’inizio.

Si aggiunge il fatto che puoi controllare al meglio i  “flussi d’informazioni non autorizzati” e cercare di contenerli al massimo. Conosci anche tu il comportamento dei noti “Whistleblowern” (informatori) che proclamano informazioni politicamente esplosive tramite i media? Simili personaggi possono essere tenuti alla larga, dalla propria organizzazione, con una politica sulla privacy ben funzionante. Solo cosi le aziende potranno anche proteggere i propri prodotti e le informazioni sui clienti e sui dipendenti dalla concorrenza astuta e talvolta sleale.

Soprattutto, se nel tempo ti sei anche costruito un buon management dei dati, avrai sviluppato una elevata protezione dallo spionaggio industriale. In altre parole sei in grado di proteggere i tuoi affari e segreti commerciali.

La gestione del tuo marketing è più complicata? Beh, fino ad ora hai semplicemente raccolto dati generici, ma ora lavori con dati attuali, aggiornati e, soprattutto, realmente utilizzabili. E gli interessati che ti permettono di usare i loro dati sono quelli sui quali puoi concentrare e indirizzare la tua pubblicità con lo scopo di convertirli in clienti.

Costruisci fiducia e una buona reputazione

La corretta gestione e il trattamento conforme dei dati dei tuoi clienti contribuiscono a creare un’immagine positiva della tua azienda. Quindi, non è proprio un vero svantaggio per te, giusto?

Tutti questi punti alla fine, ti permettono di assumere una posizione di fiducia sia all’interno sia all’esterno della tua azienda. Ciò ti garantisce la cooperazione e la fiducia a lungo termine di dipendenti e clienti, come pure di fornitori e partner commerciali.

Tuttavia, il raggiungimento di questo obbiettivo richiede una buona pianificazione strategica, un monitoraggio continuo e opportune ottimizzazioni. Per questo compito complesso spesso il RPD e il titolare si avvalgono del supporto esterno di fornitori di servizi competenti che possiedono già familiarità ed esperienza sull’argomento.

Come puoi portare, nella tua azienda, la Privacy su una buona strada?

Come dimostrano i vantaggi sopra elencati, la corretta gestione della privacy non è solo un peso, ma un’eccellente opportunità per mettere te e la tua azienda in buona luce, sia internamente che esternamente. E la migliorata protezione dei segreti aziendali è comunque molto importante per i tuoi interessi. Certamente non vuoi perdere né prodotti né clienti a favore della tua concorrenza. Ma come puoi proteggerti al meglio?

Dovresti concentrarti su 4 punti

1. Prima di tutto, dovresti esaminare attentamente tutti i flussi di lavoro interni. C’è sempre qualcosa che si può migliorare, sia per la protezione dei dati e del loro trattamento, sia per velocizzare i processi e di conseguenza per risparmiare sui costi. In questo ti possono aiutare i tuoi dipendenti, comunicandoti informazioni su ciò che riscontrano quotidianamente e suggerendoti gli eventuali cambiamenti da implementare. Ovviamente i processi non devono essere migliorati limitatamente ai singoli reparti bensì essere funzionali per tutta la tua azienda.

2. Dovresti quindi aggiornare i tuoi dipendenti in modo che i processi che vorrai cambiare siano interamente compresi e applicati da tutti i collaboratori. Per tale formazione puoi rivolgerti ad esperti che istruiscono il tuo staff direttamente presso la tua azienda e su misura per le tue esigenze.

3. Affinché la privacy influenzi positivamente la tua immagine aziendale, devi rendere pubblico il tuo modello di gestione. Menzionalo sul tuo sito internet, nelle interviste, nei volantini o nelle newsletter.

Fotografia: Pixabay.com, copyright by Madskip, 4341631, CC0 1.0

4. Da ultimo, ma non meno importante, dovresti considerare se adoperi già un buon sistema di gestione dei dati oppure installarne uno migliore. Poiché tanti processi importanti per il tuo sistema di DSMS lo sono anche per il GDPR e l’ atteso regolamento e-privacy, risulterà molto pratico risolvere e implementare, in futuro, tutti i punti contemporaneamente. 

Come possiamo aiutarti ?

Sappiamo quanto, adeguarsi a tutti gli obblighi del GDPR, possa essere complicato e richiedere molto tempo, e per questo, noi di WB Trade-it saremo lieti di assisterti con la nostra esperienza e competenza nel settore.

Il nostro personale competente ti aiuta costantemente con consultazioni e analisi, cosí come con l’introduzione dei nuovi processi, perfettamente adatti alla tua situazione. Inoltre, i nostri collaboratori sono abili ed esperti formatori e potranno istruire il tuo personale in vari settori. Siamo anche il tuo partner giusto per migliorare l’immagine aziendale e, insieme a te, possiamo sviluppare progetti concreti per consentirti di effettuare piani pubblicitari efficaci.

 

Dopo il GDPR arriva il regolamento e-Privacy

Dopo il GDPR arriva il regolamento e-Privacy

Se anche tu non vedevi l’ora di riposarti, dopo aver implementato con successo nella tua azienda il GDPR, non è purtroppo ancora giunto il momento. Perché ti attende già la prossima sorpresa: in arrivo il regolamento e-Privacy che è quasi pronto per il via.

Perché un ulteriore regolamento?

Il previsto regolamento e-Privacy non è un’idea nuova. Tuttavia giunge ora a causa della crescente digitalizzazione, più sviluppata. Questo regolamento è più o meno un regolamento speciale con riferimento ad una parte precisa del GDPR, cioè la comunicazione elettronica.

Dopo il GDPR arriva il regolamento e-Privacy
Fotografia: Pixabay.com, copyright by TBIT, 1203603, CC0 1.0

Originariamente sarebbero dovuti entrare in vigore tutti e due i regolamenti, contemporaneamente. Purtroppo l’UE è in ritardo con le bozze del regolamento e-Privacy e con la relativa timeline. Finora il settore era regolamentato all’interno della Direttiva delle comunicazioni elettroniche (Direttiva 2002/58/CE) del 12 luglio 2002 che adesso deve essere disciplinato nuovamente dal regolamento e-Privacy. Con che cosa dobbiamo confrontarci quando arriva il regolamento e-Privacy?

Che cosa tratta il Regolamento e-Privacy?

La direttiva e-Privacy vuole in generale garantire, a livello europeo, la protezione dei diritti e delle libertà fondamentali, la riservatezza delle comunicazioni e la tutela dei dati a carattere personale nel settore delle comunicazioni elettroniche.  Inoltre, dovrà sostituire i regolamenti della legge delle Telecomunicazioni (TKG) e la legge dei Media televisivi (TMG).

La direttiva sarà poi, analogamente al GDPR, valida immediatamente in tutti gli stati membri della Unione Europea e sarà modificabile, nelle clausole di apertura, da ogni stato membro. Il regolamento e-Privacy dovrebbe occuparsi non solo dei dati personali ma anche dei dati non personali e dovrà proteggere sia persone giuridiche sia persone fisiche.

Quali forme di comunicazione elettroniche ne fanno parte?

Si tratta soprattutto di tracking e targeting, servizi di Messaging, servizi di freemail, Cookies e altre comunicazioni via Internet. Sono quindi coinvolti innanzitutto gli accessi Internet, compresi la telefonia via internet e i social-media, oltre al messaging personale, ai servizi di instant-messaging e ai servizi di E-Mail basati sul web.

In che modo il ePrivacy- Regolamento coinvolge le aziende?

La tua azienda è particolarmente colpita dal nuovo regolamento se ti occupi di Online-Marketing o pubblicità diretta. Infatti, nel momento in cui entrerà in vigore il nuovo regolamento, dovrai prestare ulteriore attenzione alla realizzazione della tua pubblicità sui mass-media, che dovrà essere conforme al regolamento.

È importante che i tuoi Cookies e il tuo Tracking siano eseguiti legalmente e conformi al regolamento, per evitare le sanzioni. Inoltre, ciò riguarda naturalmente tutta la tua  comunicazione via E-Mail.

I contenuti più importanti

Quando arriva il regolamento e-Privacy?

Fino ad ora non è ancora stato approvato un regolamento definitivo e ci sono soltanto diverse bozze. Tuttavia, alcuni punti saranno particolarmente importanti. Tra questi il diritto all’oblio. Gli utenti possono, in questo modo, revocare il loro consenso all’utilizzo dei dati in qualsiasi momento e essere rimossi dal database dell’azienda.

Il divieto

Inoltre il divieto di accoppiamento, tra consensi e servizi, sarà ulteriormente sviluppato. Perché le aziende non possono, già adesso, limitare la visibilità dei contenuti della loro pagina internet al consenso del visitatore.

Soprattutto le aziende che si occupano di pubblicità diretta incontreranno maggiori  difficoltà. Infatti, le persone fisiche non potranno più essere disturbate da pubblicità, che corrisponderà a “comunicazione non richiesta”. Inoltre, i clienti dovranno avere la possibilità di obiettare alla ricezione di pubblicità. Anche le impostazioni della Privacy dovranno essere ottimizzate. Il browser deve rimanere facilmente accessibile. Per questo sarà necessario aumentare la protezione agli accessi non autorizzati.

Nel campo della telefonia sarà introdotta la soppressione dei numeri di telefono. Il numero sarà visibile e inserito negli elenchi telefonici soltanto se l’utente lo consente in modo esplicito.

Caso speciale: Cookies

L’elaborazione e conservazione dei dati utenti durante il tracking e targeting, così come dei Cookies, quindi come ad esempio l’amato Google Analytics, è vietato per le aziende se l’utente non ne consente esplicitamente l’uso. Un grosso problema per il reparto marketing di ogni azienda che dipende dalle tecniche di analisi di mercato in rete.

Tuttavia, ci saranno delle eccezioni. Perché i gestori dei siti internet possono registrare i Cookies indispensabili per il corretto funzionamento del sito. Già adesso esiste la generalmente conosciuta soluzione opt-out, mediante la quale l’utente viene informato che il gestore vuole registrare dei dati. A questo punto, l’utilizzatore può decidere se acconsentire o meno ai Cookies.

L’attuale bozza del regolamento

L’attuale bozza del più restrittivo regolamento e-Privacy (articolo 8) prevede che ogni registrazione di dati, da parte dell’apparecchio del gestore finale, e qualsiasi elaborazione e salvataggio, sia vietata.  In più sarà vietata la registrazione di informazioni attraverso l’apparecchio finale utilizzato.

La critica al concetto

L’aumento della tutela della privacy, per l’utilizzatore, è molto positivo. Tuttavia, poiché sono particolarmente colpiti, da questo argomento, i reparti marketing delle aziende, il previsto regolamento non è ben visto dalle imprese. Tale regolamento vuole ottenere, tra l’altro, che ogni utente dia l’esplicito consenso all’utilizzo dei dati per pubblicità, affinché sia legale. E chi di noi vuole essere continuamente inseguito dalla pubblicità?

Quindi le grandi società, comprensibilmente, non sono particolarmente soddisfatte delle restrizioni previste. I Responsabili per la protezione dei dati e chi tutela i consumatori invece sono felici e si impegnano per un aumento della protezione dei dati e per l’introduzione di regolamenti più severi.

Ritardo nell’implementazione

Nel frattempo sono già depositate, a Bruxelles, molte bozze per la direttiva  e-Privacy di cui però nessuna è stata ancora implementata. Allo stato attuale sembra che non ci si possa aspettare una bozza finale prima della fine dell’anno 2019.

Non prendere la E-Privacy alla leggera

Se arriva il nuovo Regolamento e-Privacy diverrà inevitabilmente, e con lui la tutela della privacy, più severo e dovrà essere programmato con estrema attenzione. Infatti, in caso di inosservanza della normativa, sono previste sanzioni e richieste di risarcimento elevate, analogamente al GDPR. Ciò può essere molto costoso, perché le multe potranno arrivare fino a 20 milioni di Euro.

La preparazione con il supporto professionale

Al momento non è ancora chiaro quando sarà varato il Regolamento e-Privacy. Tuttavia, analogamente al GDPR, è fondamentale pianificare e prepararne bene l’implementazione.  Siccome l’esperienza ha dimostrato che ciò richiede molto tempo e presenta una sfida completamente nuova per qualsiasi azienda, è utile consultare gli esperti del settore. Conviene soprattutto iniziare in tempo, per non trovarsi sotto pressione o in ritardo con l’implementazione.

Fotografia: Pixabay.com, copyright by geralt, 571157, CC0 1.0

In particolar modo, commercianti o negozi online dovrebbero già pensare a come attuare le norme più severe.  Ma anche aziende che già oggi lavorano con i metodi di tracking e online-marketing, dovranno attivarsi. Noi consigliamo sempre di prepararsi in tempo, come anche ora che arriva il regolamento e-Privacy.

WB Trade-it è a vostra disposizione per questi servizi con il proprio team di esperti. Grazie all’esperienza pluriennale in diverse aree aziendali e, in particolare, con il GDPR, siamo felici di aiutarvi e consigliarvi, accompagnandovi nella preparazione, l’implementazione e, successivamente, nell’adeguamento e aggiornamento.

GDPR – una volta implementato, tutto a posto?

Fotografia: Pixabay.com, copyright by geralt, 283233, CCO 1.0

Se anche tu hai adeguato la tua azienda ai requisiti del GDPR più o meno puntualmente, allora adesso va tutto bene, vero? Purtroppo, non è così. I principali cambiamenti sono stati sicuramente poco comprensibili, estenuanti o, per alcune aziende, difficili o fastidiosi da implementare e dispendiosi in termini di tempo. Tuttavia, si tratta di un requisito di legge che non può essere evitato. E, anche dopo aver curato con successo l’implementazione, non si si può ancora riposare e occorre restare attenti. Perché è così e a che cosa devi stare attento te lo spieghiamo di seguito. Non pensare che, se hai il GDPR implementato correttamente, per sempre rimarrà tutto cosi e tu possa dormire sogni tranquilli.

La privacy deve essere costantemente aggiornata

Quando hai superato le prime implementazioni e adeguamenti sei, per un certo lasso di tempo, al sicuro. Tuttavia, la tua azienda cresce e, con l’aumentare delle dimensioni, anche i requisiti del GDPR diventano più complessi. Devono essere presi in considerazione più dati di clienti e fornitori, e forse ti occorrono nuovi processi o più collaboratori che se ne occuperanno .

Inoltre, la tecnologia è in continua evoluzione. Perciò, occorre continuamente adeguare i tuoi sistemi IT e i software, si aggiungono nuovi pc o server e, naturalmente, programmi anti-virus sempre aggiornati e misure per colmare eventuali buchi nella sicurezza.

Dovevi già tenere presente tutto questo nella prima implementazione del GDPR o, almeno, organizzarne immediatamente l’adeguamento.  Perciò sei stato consigliato bene se, sin da subito, collabori con un’azienda professionale che si è specializzata nel settore. Infatti, solo un esperto ti può consigliare continuamente e indicare, in tempo utile, i necessari adeguamenti, implementandoli insieme a te.

Contesto dell’adeguamento: articolo 25 GDPR

Il motivo per cui devi sempre essere aggiornato è, ovviamente, che soltanto in questo modo puoi lavorare con efficacia. Inoltre, ciò è espressamente previsto nel GDPR, nell’articolo 25. L’articolo tratta la “Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita”.

L’Articolo richiede, tra l‘altro, di “tenere conto dello stato dell’arte” affinché il Regolamento possa essere attuato in modo efficace per proteggere gli interessati e soddisfare i requisiti del GDPR.

Ovviamente, lo stato della tecnica sta cambiando nel tempo e, quindi, la tecnologia della tua azienda deve adattarsi costantemente allo stato attuale con nuovi sistemi adeguati o nuovi software e aggiornamenti.

Anche l’organizzazione deve essere adeguata

Infatti, l’articolo afferma anche che, oltre alla tecnologia, devono essere prese “misure tecniche e organizzative adeguate sia al momento di determinare i mezzi del trattamento che al momento dell’effettiva elaborazione”. 

Ecco perché, se necessario, devi cambiare e adattare i tuoi processi o riqualificare i tuoi dipendenti. Non solo il rinnovo del tuo sistema informatico, ma anche i processi di elaborazione e la conoscenza dei dipendenti giocano un ruolo fondamentale nel valutare se la protezione dei dati viene regolarmente osservata.  

L‘articolo 25 GDPR richiede, pertanto, che si adottino continuamente le misure tecniche e organizzative adeguate per garantire che il trattamento sia conforme al Regolamento.  

Quali misure di adattamento sono prescritte?

La legge, sfortunatamente, non menziona quali misure devi prendere. Tuttavia, nel “considerando 78 – misure tecniche e organizzative adeguate” almeno puoi trovare degli esempi. Specificamente menzionata è la pseudonimizzazione, che è anche precisata nell’articolo 4 del GDPR.

Nel considerando 78 è riferito che i responsabili devono prestare particolare attenzione ai principi di “Protezione dei dati per progettazione (data protection by design)” e “Protezione dei dati per impostazione predefinita (data protection by default)”.

Di che cosa si tratta precisamente?

Protezione dei dati by design and by default

Data Protection by design – Protezione dati attraverso la progettazione tecnologica

La protezione dei dati attraverso la progettazione della tecnologia significa che può essere meglio soddisfatta se è già tecnicamente integrata sin dall’inizio (ovvero nel momento della introduzione del GDPR). Quindi devi considerare e pianificare le misure già durante lo sviluppo del tuo concetto di protezione dei dati. Anche in questo ti può aiutare un’azienda specializzata come WB Trade-it e supportarti nella realizzazione, poiché ha l’esperienza necessaria nel settore che, probabilmente, all’inizio ti mancherà.

Data Protection by default

La protezione dei dati con impostazioni predefinite favorevoli alla privacy significa che le impostazioni di base (o le impostazioni IT di fabbrica) sono già molto intuitive, ovvero preparate e progettate in modo facilmente comprensibile. Vale a dire che tutti gli utenti, che sono tecnicamente esperti, dovrebbero essere in grado di effettuare facilmente le impostazioni necessarie.

Quindi quali misure puoi prendere?

Poiché la legislatura ti lascia all’oscuro su che cosa devi fare esattamente, faresti bene ad affidarti all’esperienza e ai consigli di aziende del settore. Il fatto che il legislatore ti lasci un margine per l’esecuzione delle misure è anche un vantaggio. Perché ogni azienda ha il proprio backround individuale. E, ad esempio, come piccola impresa devi prendere misure di sicurezza diverse da quelle di una grande società diversificata.

Il considerando 78 propone per esempio:

  • Pseudonimizzazione di dati personali
  • Offrire Trasparenza per quanto riguarda le funzioni e il trattamento di dati personali
  • Che gli sviluppatori di prodotti utilizzati nel trattamento dei dati personali tengano già conto dello stato dell’arte, in modo che gli utenti successivi possano adempire ai loro obblighi di protezione dei dati
  • Negli appalti pubblichi si dovrebbe prestare attenzione ai principi della protezione dei dati attraverso la tecnologia e le impostazioni predefinite compatibili con la privacy.

 Ulteriori possibili misure

Le altre opzioni possono dipendere dalla tua situazione individuale, ma puoi comunque già pensare a quanto segue:

  • Oltre alla pseudonimizzazione proposta, effettua comunque un’ulteriore anonimizzazione dei dati.
  • Quando acquisti il Software, assicurati che il produttore e lo sviluppatore abbiano già preso in considerazione le tue esigenze, come suggerito nel considerando 78.
  • Introduci l’autenticazione dell‘utente.
  • Progetta e attua tecnicamente il diritto di opposizione ai sensi dell‘art. 21 GDPR.
  • Utilizza i suggerimenti aggiuntivi di altri standard, come per esempio il catalogo di protezione del Bundesamt für Sicherheit in der Informationstechnologie (BSI) oppure quelli dei vari standard ISO.

Tra tutte le misure proposte è necessario considerare anche che l’articolo 25 del GDPR richiede che si considerino i costi di implementazione, la natura, l’ambito, le circostanze e le finalità. È necessario impostarli in relazione ai possibili rischi e alla loro gravità e probabilità di accadimento e quindi determinare appropriate misure.

La valutazione del rischio è una parte molto importante del concetto di protezione dei dati, soprattutto perché l’errata previsione può comportare azioni sbagliate che, alla fine, non possono fornire una protezione adeguata.

Pertanto, siamo lieti di assisterti con il nostro consolidato know-how, competenza e esperienza nel settore. Contattaci per concordare un appuntamento per una prima consulenza.  

Fotografia: Pixabay.com, copyright by TheDigitalArtist, 3443620, CCO 1.0

La protezione dei dati non va in vacanza

Ogni azienda, che in base al GDPR è obbligata ad incaricare un Responsabile per la protezione dei dati, deve prevedere la sua assenza per vacanza o per malattia.

Poiché la Privacy non fa ferie!

Ma che cosa si deve fare in quei casi? E perché è cosi importante che qualcuno sia reperibile?

Regolamento di sostituzione per vacanza

Generalmente, in ogni posto di lavoro va prestata molta attenzione affinché ogni addetto abbia un sostituto e che quest’ultimo sia informato in tempo sui lavori in corso e sui termini/appuntamenti da rispettare.

Poi, ufficialmente ne consegue il passaggio dei lavori che, in base alla grandezza dell’azienda, può avvenire in modo differente. Normalmente, due impiegati dello stesso reparto si riescono a sostituire facilmente. Sono informati dei lavori del collega e ascoltano quotidianamente i casi dell’altro. Quindi, all'interno del team sono costantemente aggironati circa le problematiche e le situazioni particolari. Molte aziende gestiscono la sostituzione per malattia o vacanza in modo che ogni assunto abbia il proprio sostituto fisso, facendo sì che i lavori possano proseguire senza interruzione.

Questo metodo è consigliato anche per la sostituzione del Responsabile per la protezione dei dati (RPD).

Sostituzione del RPD

Purtroppo la figura del Responsabile per la Protezione dei dati può essere ricoperta soltanto da persone con specifiche competenze in materia. L’art. 37 comma 5 GDPR prevede che il Responsabile per la protezione dei dati debba soddisfare alcuni importanti requisiti affinché possa essere incaricato di questo ruolo. Costui deve possedere la qualifica professionale, la conoscenza specifica nella protezione dei dati e l’esperienza specifica in questo ambito, oltre alla capacita di adempire ad ogni compito del suo ruolo. Il sostituto dovrebbe quindi possedere lo stesso profilo professionale. In tante aziende, specialmente nelle piccole realtà, è difficile trovare, tra pochi dipendenti, due collaboratori con lo stesso profilo. Per questo motivo molte aziende incaricano un RPD esterno. Alcune società specializzate possiedono un’ampia quantità di collaboratori competenti che sono in grado di gestire le sostituzioni per malattia o vacanze senza interruzione di servizio.

Perché non gestire il problema dopo le vacanze?

Se un interessato si accorge che qualcosa non va con i suoi dati ed inoltra un reclamo, ha diritto ad rimedio immediato da parte del responsabile. Il Responsabile per la protezione dei dati deve quindi essere sempre raggiungibile da ogni interessato, in modo da potergli subito presentare un problema e richiederne la risoluzione. Tra le varie soluzioni ci sono per esempio:

  • Articolo 16 – Diritto di rettifica dei dati personali inesatti
  • Articolo 17 – Diritto alla cancellazione dei dati personali che lo riguardano

Gli interessati hanno, inoltre, il diritto di porre reclamo all’autorità di controllo (art.77).

Tanti interessati, però, non si rivolgeranno direttamente alle autorità ma cercheranno di risolvere il problema in modo diretto. Sarebbe quindi inopportuno che nella tua azienda non fosse raggiungibile nessun responsabile, costringendo in tal modo l’interessato a rivolgersi direttamente all'autorità di controllo. Fare reclamo all’autorità è tra l’altro facile, tramite modulo facsimile da inviare per mail, raccomandata o consegna a mano.

Che cosa bisogna fare in caso di reclamo?

Poiché i reclami devono essere elaborati subito e i dati sono da correggere o da cancellare immediatamente nel momento in cui l’interessato lo segnala, è indispensabile avere un sostituto in caso di assenza del RPD. Dopo la ricezione di un reclamo, è opportuno verificare la competenza nella gestione dei reclami che, nel periodo di vacanza, a volte è più difficoltosa. Infatti, se durante il periodo di ferie il personale è ridotto alla meta o addirittura l’azienda è completamente chiusa, anche i reparti IT o altri reparti rilevanti non sono reperibili come di consuetudine. Per questi casi è necessario che l’azienda abbia adottato un regolamento di gestione con i processi da seguire. Per il periodo di vacanze, nel regolamento di gestione deve essere integrato il piano di sostituzione. In questo modo è chiaro chi dovrà essere contattato per la cancellazione o correzione dei dati sul server oppure in quale archivio si trovano i Backup da controllare o cancellare.

In mancanza dei requisiti legali: consigli pratici

Nel GDPR non viene descritto, per le aziende, un preciso programma da seguire per la sostituzione per malattia o ferie. Tuttavia, nella pratica si sono consolidate alcune procedure utili. Anche se il regolamento non prevede esplicitamente un sostituto, si tratta della soluzione più semplice e evidente. L’azienda deve quindi formare contemporaneamente il Responsabile per la protezione dei dati e il suo sostituto oppure incaricare due esterni, tramite un’azienda specializzata, oppure reclutare il RPD di un ramo d’azienda collegata. Il sostituto, proveniente da un ramo di azienda della società, ha il vantaggio di conoscere già i sistemi operativi ed ha familiarità con le procedure e processi aziendali. Inoltre, in tal modo si riescono ad abbassare i costi di formazione, e le informazioni aziendali interne e riservate non vengono trasmesse ad estranei.

D'altro canto, non è cosi facile spostare il RPD da un’altra azienda per il periodo di vacanza; inoltre, l’azienda collegata potrebbe essere molto distante e il sostituto responsabile non riuscirebbe ad essere in più luoghi contemporaneamente per controllare e supervisionare i procedimenti.

Come procedi al meglio di fronte ad un reclamo?

Il punto più importante è che tu risponda immediatamente al reclamo. Se ricevi quindi un reclamo, rispondi al reclamante che hai ricevuto la sua notifica e che tu, o chi di competenza, te ne occuperai subito. Nella prima comunicazione non devi necessariamente fornire ulteriori informazioni.

Se il reclamo vi giunge nel periodo di sostituzione per vacanza, e il sostituto non è molto ferrato nella materia, è fondamentale che la persona sia responsabile e riservata e che conosca le documentazioni riguardo alla gestione della privacy. Ciò significa anche controllare regolarmente la posta e le e-mail del RPD ed ottenere, in caso di emergenza, le informazioni rilevanti e sapere dove, per esempio, si trova una lista con gli interlocutori del caso.

Tempo di elaborazione

In base all‘art. 12 comma 3 GDPR hai un mese di tempo per informare l’interessato. Sembra che sia tanto tempo. Ma il reclamo richiede un procedimento accurato e occorre dare o controllare tante informazioni, oltre alla procedura di cancellazione o correzione dei dati.

In effetti, il tempo a disposizione non è poi così tanto!

Se tutto il lavoro deve poi essere svolto da un sostituto che non lo fa di routine, il lasso di tempo a disposizione potrebbe essere anche poco.

Informazione pubblica delle persone interessate

Un reclamo potrebbe riguardare non soltanto un singolo caso, ma una perdita massiva di dati.

Casi del genere, come ad esempio l’accesso o la divulgazione non autorizzata di dati personali, sarebbe un grosso rischio!

In tal caso, devi addirittura informare le persone interessate tramite i mass-media, come giornali o radio, o in altri modi adeguati.

Coinvolgimento del Garante

Inoltre, l’autorità di controllo deve essere immediatamente informata. In questo caso, però, non puoi soltanto dire che c’è stata una segnalazione.

Sarai costretto a spiegare in modo esaustivo l’accaduto, includendo anche un rapporto che spieghi il motivo dell’accaduto e il prospetto delle contromisure che metti in atto affinché non possa più accadere. Per mettere insieme le molteplici informazioni disponibili, anche in situazioni di quotidiana amministrazione, avrai bisogno di diverso tempo. Nel periodo di ferie, raramente le aziende sono preparate a questi casi di emergenza, anche se impiegano un sostituto che, di regola, è meno coinvolto nella gestione ordinaria della privacy.

Anche per questo motivo, affidarsi ad un responsabile esterno è un enorme vantaggio.

Rivolgersi ad un’azienda di servizi che, con esperienza nell’ambito, ti supporti nella gestione e che sappia esattamente che cosa fare rappresenta una soluzione vincente.

I molteplici vantaggi te li spieghiamo dettagliatamente nel prossimo capitolo.

I vantaggi di un RPD esterno

Affinché venga garantito che durante tutto l’anno sia reperibile un interlocutore competente che elabori correttamente i reclami o le richieste delle persone interessate, ricorrere ad un’azienda di servizi esterna si è rivelato nel tempo la migliore soluzione. In particolar modo, ciò dimostra l’efficacia dell’impresa nei periodi di vacanza, chiusura per festività o in mancanza di personale.

Esperti sostituiscono esperti

Soprattutto, noi di WB Trade-it raggruppiamo esperti di ogni settore che possono essere inseriti in ogni reparto d’azienda. Ad una collaborazione di fiducia con una prospettiva di lungo termine, aggiungiamo il know-how specifico e la conoscenza di tutte le strutture necessarie per supportare al meglio il titolare d’azienda.

GDPR è di routine

Mentre per un’azienda i nuovi requisiti del GDPR sono ancora insoliti e eventualmente difficoltosi nell’implementazione, per il team di WB Trade-it si tratta di routine quotidiana.

Reperibilità permanente

Anche noi e i nostri esperti abbiamo bisogno di vacanza. Tuttavia, durante il periodo di ferie, non fermiamo o rallentiamo i servizi perché tutti i nostri esperti sono allo stesso livello d’informazione e perché sono reperibili in ogni momento, grazie a processi collaudati e piani di sostituzione perfezionati.

Accordi dettagliati con il cliente

Concordiamo individualmente, e in base alle esigenze di ogni singolo cliente, i nostri servizi e i piani di sostituzione, cosi come la nomina di un Responsabile per la protezione dei dati esterno.

Infatti, le specifiche esigenze come la grandezza, il settore d‘attività e le richieste specifiche dell’azienda, vengono sempre valutate attentamente e condivise con il cliente finale.

Consulenza individuale

Siamo sempre felici di poterti spiegare, in un colloquio personale, tutte le possibilità di gestione.

Naturalmente supportiamo i nostri clienti non solo nell’adeguamento al GDPR, bensì in tutti gli altri ambiti aziendali.

Protezione dati online e offline

Protezione dei dati online e offline

Protezione dati online e offline

Protezione dati online e offline

Coloro che pensano che la propria Website non serva a niente o comunque di poterne far a meno probabilmente, presi dal panico per il GDPR,  hanno oscurato la pagina. Il motivo: la paura di non riuscire a gestire la protezione dei dati online e offline. Ma può essere questa la soluzione?

Sicuramente no. Anche soltanto per il fatto che la protezione dei dati riguarda non solo i dati online ma anche quelli offline. Pure i documenti cartacei che troviamo sulle scrivanie delle aziende, piccole e grandi, devono essere protetti. Quindi il GDPR ti riguarda sia online che offline. Ma quali sono le cose da rispettare?

Pianificazione dei processi di protezione

Poiché ogni Responsabile opera nel proprio ambito di competenza o di responsabilità, deve adeguare e personalizzare i processi di protezione dei dati e adeguamento al GDPR (art.30). Il miglior modo per farlo è innanzitutto tracciare tutte le tue attività di trattamento dati e annotare almeno una misura di sicurezza per ogni attività. Solo con un piano dettagliato e articolato sei al sicuro in caso di controlli e al riparo dalle sanzioni.

Backup

Affinché i tuoi dati non vadano persi o accidentalmente cancellati, ma soprattutto perché tu non perda i tuoi documenti di clienti, fornitori, istituzioni, autorità di controllo, e per rispettare il tuo obbligo di conservazione dei dati, occorre eseguire frequenti backup.

Che cosa è importante per un Backup?

La protezione dei tuoi dati è indispensabile anche nell’ambito privato affinché tu possa ripristinarli dopo un eventuale computer crash. I Backup sono uno scudo importante contro i “Ransomware”. Tuttavia, anche gli hacker imparano e cosi attaccano prima i backup per poi rubare o distruggere i tuoi dati. Perciò il salvataggio offline dei dati è una buona prassi per evitare gli attacchi.

Una parola chiave, se si parla di Backup, è inoltre il “Disaster Recovery”, cioè il ripristino dei dati in caso di emergenza.

Per tale “desaster recovery” dovresti stabilire, insieme al tuo reparto IT, un piano tecnico e organizzativo. In caso di emergenza, in base a questo piano procedi per ripristinare al più presto la situazione originaria e mantieni in piedi i procedimenti quotidiani e le elaborazioni della tua azienda.

Oltre al ripristino dei dati in caso estremo c’è anche il “Data Discovery”. Suona molto simile, ma significa “scoprire/ritrovare i dati” piuttosto che semplicemente ripristinare. Nello specifico, per “data discovery” s’intende il ritrovamento dei dati, anche nei vari backup, per esempio nel momento in cui un interessato fa valere il diritto di modifica o di cancellazione dei propri dati. Solo se sai esattamente dove trovare tali dati puoi garantire il pieno adempimento al GDPR (art.32).

Presta attenzione anche ai termini di conservazione dei backup che, in genere, sono di circa 5 settimane. In alcuni casi specifici, però, possono essere prolungati i termini. Quindi, già comprendi che devi organizzare molto bene sia la conservazione dei dati attuali sia i dati salvati nei backup, in modo da poter rispettare il diritto dell’interessato alla cancellazione dei dati, alla naturale scadenza dei termini di conservazione (esaurimento delle finalità), e alla loro cancellazione automatica. La dimenticanza di tale procedimento ti espone al rischio di sanzioni.

Programmi Antivirus

Una volta online può accadere che… bang! ti sei beccato un virus o troian che legge o distrugge i tuoi dati. Per evitarli è indispensabile installare un buon software antivirus funzionante che devi tenere aggiornato regolarmente.

Crittografia e trasmissione sicura dei dati

La crittografia dei dati tramite SSL è, in ogni caso, obbligatoria per le pagine Web e le e-mail, e puoi creare i relativi certificati addirittura gratis tramite software disponibili online.

Anche la trasmissione sicura dei dati deve avvenire tramite Software o crittografia. I programmi e-mail spesso hanno già una propria crittografia. Inoltre, presta attenzione se utilizzi dati in Cloud oppure all’utilizzo di programmi come WeTransfer.

Lavorare in Cloud

I sistemi e programmi moderni lavorano in Cloud. Quindi, se preferisci non gestire i vari supporti dati, puoi eseguire i salvataggi anche in Cloud e generare lì i backup. Verifica in ogni caso che il tuo fornitore, nonché il Cloud-Server, si trovi in Europa in modo da essere adempiente con il GDPR. Crittografa tutti i dati che trasmetti e archivi in Cloud.

Concetto degli accessi e permessi

All’interno della tua azienda devi stabilire quali sono le necessità di accesso ai dati per ognuno dei tuoi collaboratori e attribuirgli il consenso d’uso. Questa procedura prevede alcuni accorgimenti:

  • Codice di accesso agli edifici o locali o armadi
  • Permessi di accesso a determinati pc, permesso di accesso a determinati programmi o dati necessari
  • Accesso tramite password ai programmi, attribuito a ogni singola postazione di lavoro.

Anche se hai soltanto una piccola azienda o lavori come Freelance da casa devi assolutamente ricordarti della protezione dei dati!

Sia sul tuo server, sul tuo portatile e sul tuo Smartphone con dati del calendario e indirizzi dei contatti, devi installare un software-antivirus oltre alla password personale di accesso al fine di protegge i dati.

Pensa che, anche nella tua casa o appartamento, famigliari, ospiti o persino ladri  potrebbero visionare i tuoi documenti. Per evitarlo dovresti in ogni caso limitare gli accessi a determinate stanze o luoghi, elettronicamente o perlomeno con un bel lucchetto o una serratura. Armadi per l’archiviazione dei documenti, faldoni e fascicoli dovrebbero essere sempre chiusi a chiave, anche a casa.

Comunicazione sicura – Attenzione ai destinatari di e-mail

Trascurato e subito successo: una E-Mail destinata a più persone… e ognuno di loro può leggere gli indirizzi mail degli altri. Molto molto rischioso, questo campo “destinatari” aperto. Come puoi leggere in un nostro Blog precedente sulle sanzioni, un uomo è stato sanzionato pesantemente perché mandava le mail a centinaia di persone senza oscurare gli indirizzi dei destinatari. Quindi presta attenzione quando invii le e-mail con destinatari multipli e metti tutti in BCC (c.d. copia conoscenza nascosta).

Archiviazione sicura dei dati

Fotografia: Pixabay.com, copyright by kalhh, 979598, CC0 1.0

Se utilizzi dischetti per il Backup o altri supporti per il salvataggio dei dati, devi archiviarli nello stesso modo sicuro, come per i documenti cartacei. I supporti dovranno essere protetti da accessi non consentiti, da furti e perdita e, quindi, anche da hacker e ladri, come pure da danni causati da acqua o fuoco. Informazioni utili al riguardo vengono fornite anche sulle pagine internet del garante o da alcune aziende IT specializzate.

La distruzione sicura

Se non vuoi più utilizzare dei dati, indipendentemente se in formato cartaceo o digitale, devi distruggerli in modo sicuro e conforme, così da renderli irrecuperabili. Per farlo puoi utilizzare dei Software specifici, i distruggi documenti oppure le aziende specializzate nella distruzione documentale (digitale e cartacea).

Osservare l’obbligo di conservazione

L’obbligo di conservazione dei documenti (elettronici e cartacei) fino alla scadenza della finalità, vale non solo per le grandi aziende ma anche per quelle piccole o per i liberi professionisti. Ciò significa che, al termine del lasso di tempo previsto dalle leggi nazionali, i documenti devono essere distrutti. Quindi, alla scadenza dei 10 anni, termine massimo di conservazione per la maggior parte dei documenti fiscali, dovrai occuparti dello smaltimento conforme.

È possibile comunque che il “diritto all‘oblio” entri in conflitto con i termini legali di conservazione. Ecco perché dovrai essere in grado di separare i dati ed eventualmente oscurarli o bloccarli, anche nei backup. In ogni caso, prevale la legge fiscale e i termini di conservazione previsti dal diritto del singolo individuo.

Dopo tutte queste informazioni ti sono comunque rimaste delle domande o dubbi sulla gestione dei dati online e offline?

Noi ti aiutiamo volentieri. Contatta il nostro team di professionisti che, con una prima consulenza gratuita via telefono o e-mail, ti aiutano a capire meglio che cosa fare.