data protection officer

Data Protection Officer, ecco come scegliere il DPO giusto per te

Svolgere le attività in ambito privacy è molto complesso, quindi spesso conviene trovare un DPO in qualità di “pilota” della gestione, anche se non sussiste l’obbligo di nomina.

Il GDPR contiene una serie di requisiti che dovevano essere implementati dalle aziende sin dalla sua entrata in vigore, a maggio 2018. Tuttavia, un lavoro “una tantum” non è sufficiente, perché i processi devono essere continuamente adeguati e aggiornati al regolamento, sia dal punto di vista tecnico che da quello organizzativo e il Data Protection Officer (DPO) è una figura chiave prevista dal Regolamento. 

Che tutto funzioni al meglio e che sia controllato correttamente non dipende soltanto da te, come direttore generale o proprietario d’azienda, ma anche dal tuo Responsabile per la Protezione dei Dati – RPD (DPO Data Protection Officer) . Infatti, devi nominare un RPD, come definito nell’articolo 37 GDPR, se le tue attività aziendali principali consistono in trattamenti su larga scala o di categorie particolari di dati personali, di cui all’articolo 9 GDPR. A parte l’obbligo legale, puoi pur sempre scegliere di nominare un DPO affinché ti funge da “auto-pilota” da “bussola” della tua gestione dei dati personali.

Dove cerco un RPD o DPO esterno?

Fondamentalmente, hai due possibilità. Innanzitutto, devi prima decidere se incaricare un dipendente interno per questa posizione o trovare un Responsabile per la Protezione dei Dati esterno. 

A che cosa devi prestare attenzione?

Internamente, in genere, farai fatica ad individuare un dipendente già pronto con le qualifiche richieste. Dovrai quindi considerare di fargli frequentare opportuni corsi di formazione. I corsi, non solo costano soldi ma impegnano il tuo collaboratore anche molto tempo. Inoltre, considera che il neo-RPD avrà probabilmente acquisito la necessaria conoscenza di base, ma non avrà ancora sviluppato alcuna esperienza nel settore. Le abilità si sviluppano solo nel tempo!

Viceversa, un fornitore di servizi esterni è l’ideale per le piccole e medie imprese e consente anche di risparmiare sui costi. Questi fornitori di servizi hanno già anni di esperienza nel settore specifico. Esiste un numero indefinito di società di servizi e avvocati che si offrono come Responsabili esterni della protezione dei dati. Purtroppo, spesso di fronte a una così vasta offerta è difficile decidere per l’RPD più adatto alle proprie esigenze.

Le opzioni per trovare un RPD adatto.

Anche in questo caso hai due opzioni “ufficiali” a disposizione. Puoi, per esempio, trovare un esperto della protezione dei dati tramite il TÜV Italia. Il TÜV è conosciuto e quindi affidabile.

È inoltre possibile contattare l’associazione professionale dei Responsabili della protezione dei dati  Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e. V. oppure l’associazione Federprivacy. Tramite queste organizzazioni puoi ottenere gli elenchi dei membri professionisti e prendere contatto con uno di loro.

È anche utile consultare amici e conoscenti che possono raccontarti le loro esperienze, positive o negative, con determinate aziende. In fondo, è importante che tu scelga qualcuno che sia competente, che ti sia gradevole e con il quale poter costruire una buona e duratura cooperazione sulla base di reciproca fiducia. 

Quali qualifiche deve avere il DPO? 

Le qualifiche richieste al Data Protection Officer sono menzionate nell’articolo 37 (5) GDPR: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39.”

Inoltre, il considerando 97, relativo all’articolo 37, aggiunge, alla conoscenza specialistica che il ruolo richiede, conoscenze specifiche sulle operazioni di trattamento e protezione dei dati personali utilizzati. 

Quali ambiti di competenza deve coprire? 

I compiti che il Responsabile della protezione dei dati deve svolgere, nel corso della sua attività, sono descritti dettagliatamente nell’articolo 39 del GDPR. Questi includono, per esempio: 

  • Informare e fornire consulenza al titolare del trattamento e ai dipendenti.
  • Sorvegliare l’osservanza del Regolamento GDPR.
  • Fornire un parere in merito alla valutazione d’impatto.
  • Cooperare con l’autorità di controllo.
  • Fungere da punto di contatto per l’autorità di controllo.

Di conseguenza, la sua attività è piuttosto ampia e interdivisionale. È quindi un vantaggio se ha profonde conoscenze sia in questioni legali, sia organizzative che di programmazione IT. (scarica il nostro e-Book

A proposito: giacché il responsabile della protezione dei dati è pur sempre un essere umano che potrebbe commettere un errore, sarebbe bene se verificassi se ha un’assicurazione di responsabilità civile. Tale assicurazione coprirebbe, nella peggiore delle ipotesi, i danni che potrebbe causarti.

https://www.garanteprivacy.it/regolamentoue/rpd

Come scelgo il giusto RPD? 

A questo punto, non soltanto devi selezionare un Responsabile della Protezione dei Dati esterno qualificato, ma devi anche valutare altri aspetti. In particolare, da quale ambito professionale dovrebbe provenire il DPO? Dovrebbe essere un avvocato o uno specialista IT? E infine, il professionista più economico è sempre peggio di un esperto più costoso? 

Chi è meglio come DPO: un avvocato o uno specialista IT? 

Sul mercato sono disponibili diversi corsi certificati, ma non è prevista una formazione obbligatoria per i Responsabili della Protezione dei Dati (RPD). La tua scelta potrebbe quindi orientarsi verso un avvocato che sicuramente padroneggia perfettamente la parte legale della gestione dei dati. 

Oppure, potresti optare per uno specialista IT che conosca molto bene i Software, l’Hardware e i vari programmi. Ma la gestione della privacy è principalmente organizzazione piuttosto che programmazione tecnica, motivo per cui non è nemmeno possibile sfruttare appieno la conoscenza approfondita dello specialista IT. 

Attenzione: Il tuo fornitore usuale di servizi IT, che arriva quando la tua stampante smette di funzionare o i tuoi dati nel sistema sono scomparsi, non può diventare contemporaneamente il Responsabile della Protezione dei Dati perché gli mancano l’obiettività e la neutralità necessarie. Infatti, ovviamente preferirà i programmi e i processi da lui introdotti, e quindi potrebbe trascurare soluzioni alternative. 

L’avvocato sembrerebbe quindi la scelta migliore in quanto i rapporti con le autorità di controllo si svolgono molto sul piano legale. Ricorda che sono richieste una conoscenza e esperienza specificache non si possono apprendere attraverso un semplice corso di formazione. Per contro, un avvocato purtroppo non ne sa abbastanza di problemi informatici o di misure organizzative di protezione. Pertanto, un fornitore di servizi che copre tutte le discipline e ti offre un team qualificato di avvocati e specialisti IT è la scelta migliore per te. Grazie a questo backround, il fornitore di servizi può fornire la riposta o la soluzione legale o tecnica giusta in ogni situazione. 

Meglio un DPO economico o uno costoso?

Questa domanda è molto popolare, ma qual è il tuo limite personale tra economico e costoso? Ci sono buoni Data Protection Officer economici e cattivi professionisti costosi, quindi per te dovrebbe essere logico scegliere l’intero pacchetto. Ma devi tener conto del fatto che l’istruzione e la formazione continua dei bravi Data Protection Officer non è economica! Un esperto che investe costantemente nella propria istruzione non può offrirti prezzi ridicoli. Semplicemente, non sarebbe conveniente per lui. Prezzi troppo bassi dovrebbero indurti a riflettere. 

Pensa ad un buon avvocato che dovrebbe salvarti dalla prigione. Certamente di fronte a tale possibile punizione (che, in senso figurato, nel GDPR è rappresentata da una enorme multa), ricercheresti il migliore difensore e, se necessario, senza badare a spese! È sempre pericoloso scegliere un partner solo per risparmiare, perché ciò alla fine ti può costare caro. 

In ogni caso dovresti prestare attenzione a:

  • Che cosa ti viene offerto per i tuoi soldi? 
  • Il fornitore di servizi è sufficientemente qualificato e ha molti anni di esperienza pratica e approfondite conoscenze specialistiche? 
  • È sempre reperibile per te? 
  • Ti consiglia in modo esaustivo e comprensibile e ti offre un buon servizio personale oltre ad un supporto telefonico e via e-mail? 

L’agonia della scelta – possiamo convincerti?

Se non sei sicuro su quale sia il fornitore di servizi esterno più adatto a te, allora lasciati semplicemente consigliare da noi

Noi ti possiamo aiutare in ogni caso, indipendentemente dalla tua decisione. Nel nostro team abbiamo membri esperti e con conoscenze sia giuridiche sia tecniche professionali. Quindi potrai beneficiare in ogni caso della collaborazione di entrambi! Inoltre possiamo fornirti il tuo Responsabile per la Protezione dei Dati (RPD) oppure formare i tuoi collaboratori, se desideri sceglierne uno tra i tuoi dipendenti adatto per questo ruolo.

Per individuare le aree di copertura dell’adeguamento al GDPR da parte del titolare, puoi chiedere il nostro SCHEMA DI VERIFICA. clicca qui

Una cooperazione di fiducia e a lungo termineuna reperibilità costante e un buon servizio sono per noi di dovere. Il nostro team, composto da molteplici esperti, offre numerosi servizi e diversi corsi di formazione inerenti al GDPR, tutti fruibili con la formula “chiavi in mano”. Siamo felici di spiegarti, in un colloquio personale, i nostri servizi e soluzioni su misura per le tue esigenze!

gestione privacy

La corretta gestione della privacy in azienda: come farla bene e guadagnarci anche

Adeguare la propria attività al GDPR può essere una vera e propria benedizione oppure essere soltanto un fastidioso obbligo.

Le novità del GDPR per la corretta gestione della privacy sono state recepite dalle aziende come complicate e la loro implementazione è stata lunga e fastidiosa. Ma dal momento che si tratta di una legge che prevede sanzioni elevate in caso di inosservanza, i proprietari delle aziende non hanno avuto altra scelta che prendersene cura. Inoltre, hanno dovuto anche assolvere il compito di monitorare regolarmente i processi di protezione dei dati, adattarli continuamente e aggiornarli mediante adeguate misure di sicurezza tecniche e organizzative.

Ma la Privacy non è una nuova invenzione e rappresenta, soprattutto per gli utenti e i clienti, più che altro è una benedizione perché la loro privacy è ora molto più protetta. Tuttavia, è proprio vero che per le aziende la protezione dei dati è soltanto un fastidioso obbligo o porta forse anche dei benefici? E se sì, quali sono?

La privacy è davvero un peso per te?

È comprensibile che per un titolare d’azienda la corretta gestione della privacy e i nuovi obblighi e requisiti del regolamento, implementati con elevati costi e impegno lavorativo possono essere considerati come svantaggi. Dopo tutto, devono essere osservati una serie di obblighi e, soprattutto per il marketing e la pubblicità, ne derivano grosse limitazioni. Infatti, poiché il cliente deve acconsentire ogni singola azione, la raccolta dei dati e la pubblicità non possono più essere eseguite cosi facilmente. 

La situazione sarà ulteriormente aggravata dall’introduzione del previsto regolamento europeo e-Privacy che sostituirà la direttiva 2002/58/CE (o legge sui cookie) applicata ancora oggi e “complementare” al GDPR, specificando e regolamentando ulteriormente le comunicazioni elettroniche. La situazione quindi è disperata? No, assolutamente! Se pianificato e gestito correttamente, l’e-privacy determina anche dei vantaggi per le aziende.

Quali benefici può trarre la mia azienda da una buona protezione dei dati?

Ridurre i costi e aumentare l’efficienza

Poiché hai già sviluppato un buon concetto di protezione dei dati per implementare il GDPR nella tua azienda, puoi ottimizzare i processi di lavoro che, con l’aiuto dell’RPD (Responsabile della protezione dei dati) che hai dovuto nominare, sono costantemente monitorati e ottimizzati. Di conseguenza, i tuoi processi possono essere ben modernizzati e costantemente migliorati.

Grazie a processi più snelli ed efficaci possono persino essere ridotti i costi.  Non solo attraverso un lavoro più efficiente, ma anche perché ex dipendenti, concorrenti o clienti non avranno motivi per segnalarti alle autorità di controllo ed esporti al rischio di multe salate.

Proteggi i segreti commerciali e migliora il marketing

Se i tuoi dipendenti sono sensibilizzati all’argomento attraverso una formazione specifica, potrai evitare molti errori sin dall’inizio.

Si aggiunge il fatto che puoi controllare al meglio i  “flussi d’informazioni non autorizzati” e cercare di contenerli al massimo. Conosci anche tu il comportamento dei noti “Whistleblowern” (informatori) che proclamano informazioni politicamente esplosive tramite i media? Simili personaggi possono essere tenuti alla larga, dalla propria organizzazione, con una politica sulla privacy ben funzionante. Solo così le aziende potranno anche proteggere i propri prodotti e le informazioni sui clienti e sui dipendenti dalla concorrenza astuta e talvolta sleale.

Soprattutto, se nel tempo ti sei anche costruito un buon management dei dati, avrai sviluppato una elevata protezione dallo spionaggio industriale. In altre parole sei in grado di proteggere i tuoi affari e segreti commerciali.

La gestione del tuo marketing è più complicata? Beh, fino ad ora hai semplicemente raccolto dati generici, ma ora lavori con dati attuali, aggiornati e, soprattutto, realmente utilizzabili. E gli interessati che ti permettono di usare i loro dati sono quelli sui quali puoi concentrare e indirizzare la tua pubblicità con lo scopo di convertirli in clienti.

Costruisci fiducia e una buona reputazione

La corretta gestione e il trattamento conforme dei dati dei tuoi clienti contribuiscono a creare un’immagine positiva della tua azienda. Quindi, non è proprio un vero svantaggio per te, giusto?

Tutti questi punti alla fine, ti permettono di assumere una posizione di fiducia sia all’interno sia all’esterno della tua azienda. Ciò ti garantisce la cooperazione e la fiducia a lungo termine di dipendenti e clienti, come pure di fornitori e partner commerciali.

Tuttavia, il raggiungimento di questo obiettivo richiede una buona pianificazione strategica, un monitoraggio continuo e opportune ottimizzazioni. Per questo compito complesso spesso l’RPD e il titolare si avvalgono del supporto esterno di fornitori di servizi competenti che possiedono già familiarità ed esperienza sull’argomento.

Come puoi portare, nella tua azienda, la Privacy su una buona strada?

Come dimostrano i vantaggi sopra elencati, la corretta gestione della privacy non è solo un peso, ma un’eccellente opportunità per mettere te e la tua azienda in buona luce, sia internamente che esternamente. E la migliorata protezione dei segreti aziendali è comunque molto importante per i tuoi interessi. Certamente non vuoi perdere né prodotti né clienti a favore della tua concorrenza. Ma come puoi proteggerti al meglio?

Dovresti concentrarti su 4 punti

1. Prima di tutto, dovresti esaminare attentamente tutti i flussi di lavoro interni. C’è sempre qualcosa che si può migliorare, sia per la protezione dei dati e del loro trattamento, sia per velocizzare i processi e di conseguenza per risparmiare sui costi. In questo ti possono aiutare i tuoi dipendenti, comunicandoti informazioni su ciò che riscontrano quotidianamente e suggerendoti gli eventuali cambiamenti da implementare. Ovviamente i processi non devono essere migliorati limitatamente ai singoli reparti bensì essere funzionali per tutta la tua azienda.

2. Dovresti quindi aggiornare i tuoi dipendenti in modo che i processi che vorrai cambiare siano interamente compresi e applicati da tutti i collaboratori. Per tale formazione puoi rivolgerti ad esperti che istruiscono il tuo staff direttamente presso la tua azienda e su misura per le tue esigenze. 

3. Affinché la privacy influenzi positivamente la tua immagine aziendale, devi rendere pubblico il tuo modello di gestione. Menzionalo sul tuo sito internet, nelle interviste, nei volantini o nelle newsletter.

4. Da ultimo, ma non meno importante, dovresti considerare se adoperi già un buon sistema di gestione dei dati oppure installarne uno migliore. Poiché tanti processi importanti per il tuo sistema di DSMS lo sono anche per il GDPR e l’atteso regolamento e-privacy, risulterà molto pratico risolvere e implementare, in futuro, tutti i punti contemporaneamente.

Come possiamo aiutarti ?

Sappiamo quanto, adeguarsi a tutti gli obblighi del GDPR, possa essere complicato e richiedere molto tempo, e per questo, noi di WB Trade-it saremo lieti di assisterti con la nostra esperienza e competenza nel settore. 

Il nostro personale competente ti aiuta costantemente con consultazioni e analisi, così come con l’introduzione dei nuovi processi, perfettamente adatti alla tua situazione. Inoltre, i nostri collaboratori sono abili ed esperti formatori e potranno istruire il tuo personale in vari settori. Siamo anche il tuo partner giusto per migliorare l’immagine aziendale e, insieme a te, possiamo sviluppare progetti concreti per consentirti di effettuare piani pubblicitari efficaci.

Se risconti che anche soltanto un tassello manca ancora e desideri risolvere tutte le eventuali criticità, clicca qui sotto e prenota la tua consulenza.

social network

Social Network e App: ecco perché dovresti proteggere i tuoi dati su WhatsApp, Messenger e Facebook

L’importanza dei dati personali nelle App e Social media

La diffusione dei social network e degli smartphone è oramai capillare e ogni utente ha in media 80 applicazioni installate sul proprio dispositivo. Negli ultimi tre anni il mercato collegato alle app ha avuto una crescita esponenziale passando da un valore globale del 2016 di 1.300 miliardi di dollari ad uno stimato nel 2023 di oltre 6 miliardi di dollari. Questo trend di crescita ovviamente è dovuto alla diffusione degli accessi a internet da smartphone che di fatto hanno superato quelli da pc. Siamo ormai abituati a questo strumento, indispensabile per tanti nella vita quotidiana. Lo smartphone contiene le App ed è ormai diventato lo strumento fondamentale per informarsi, comunicare sui social network, divertirsi o svolgere delle attività secondarie.

L’aumento della vastità di applicazioni disponibili, la velocità con la quale i programmi vengono sviluppati e offerti al mercato è impressionante. Frequenza e tempo d’utilizzo aumentano. I dati del primo trimestre 2020 evidenziano una crescita del +20% del tempo di utilizzo delle App rispetto l’anno 2019. Il numero di download, rispetto all’ultimo trimestre 2019, è cresciuto del +15% a livello mondiale. La classifica in termini di downloads:

  1. TikTok
  2. WhatsApp Messenger
  3. Facebook
  4. Instagram
  5. Facebook Messenger

Dato l’enorme crescita del mercato delle App con un utilizzo in costante aumento, il Garante per la Privacy ha ritenuto opportuno pubblicare un pratico documento . Tali linee guida mirano ad un utilizzo più consapevole delle applicazioni per dispositivi mobili. Poiché troppo spesso l’utente medio trascura gli importanti aspetti di sicurezza a fronte di una maggiore immediatezza d’uso.

L’offerta delle App cresce e la sicurezza diminuisce?

Possiamo dire quindi che sia il numero alle applicazioni sia l’utenza e il tempo d’utilizzo sono in costante crescita. Ma aumenta anche la sensibilizzazione verso la protezione dei propri dati? Pare di no! Da un lato a causa delle informative troppo lunghe e incomprensibili dall’altro per mancanza d’informazione sui diritti e rischi, oltre alla superficialità dell’utente stesso.

Vediamo quindi uno dei principi fondamentali: l’informazione. In base al regolamento GDPR lo sviluppatore di App deve spiegare precisamente quali dati verranno raccolti e come verranno utilizzati e conservati. Tale informativa fornita durante lo scarico dell’App risulta troppo spesso incomprensibile per una persona “normale”. La lunghezza del documento, l’assenza di traduzione dal inglese e la presenza di rinvii a documenti esterni sono ulteriori ostacoli a una corretta informazione.

Vi consigliamo in ogni caso, di verificare sempre chi sarà a trattare i dati raccolti e per quale scopo. Inoltre, informatevi se i vostri dati verranno ceduti o condivisi a terze parti e per quanto tempo verranno conservati nelle banche dati della società proprietaria dell’app.

Nel caso in cui l’applicazione indichi soltanto alcuni dati personali come indispensabili, si consiglia di fornire soltanto quelli. In caso contrario, alcuni di questi dati potrebbero essere diffusi automaticamente tramite canali social. Opportuno quindi, se possibile, effettuare una verifica nelle impostazioni dei social network a cui si è iscritti e se esiste la possibilità di disattivare questa funzione.

Salvare i dati nelle App è comodo ma pericoloso

Le utilità delle App sono molteplici e spesso ci rendono le nostre attività quotidiane più facile e veloce. Tuttavia ricordiamo che, per quanto possa essere comodo, alcuni dati in particolare non andrebbero mai memorizzati nelle applicazioni delicati come per esempio quelle bancarie. Tra i dati da non salvare sono sicuramente da citare: nome utente, password e PIN. Anche se i servizi bancari proteggono i dati dei propri clienti tramite sistemi di autenticazione a più fattori e l’utilizzo di PIN dispositivi per effettuare pagamenti o altre operazioni rilevanti, è consigliata la massima prudenza in questo ambito.

Altri dati particolarmente sensibili da menzionare, di cui le app spesso richiedere accesso sono i file multimediali memorizzati sul dispositivo. Fotografie personali, video privati e file audio potrebbero finire nelle mani sbagliate, così come anche i dati relativi alla tua posizione rilevata tramite satellite. Il consiglio è di valutare volta in volta l’opportunità di fornire il consenso all’accesso a tali dati e di non concedere l’accesso per default.

Vale a questo punto la pena ricordare, che ogni utente di qualsiasi tipo di applicazione deve avere per legge sempre la possibilità di scelta tra dare e non dare il consenso. Laddove questa possibilità non vi è data sarà meglio evitare tale applicazione.

I rischi di alcune App e dei Social

Il Garante per la Privacy pone particolare attenzione non solo ai social network ma anche alle app che sfruttano software AI per modificare foto e video (aggiungendo filtri ed effetti speciali) oppure scambiare il proprio viso con quello di un VIP, come per esempio Face swapping e After Effects. I dati raccolti sono infatti utilizzati per creare file falsi capaci di recare danno alla reputazione altrui. L’esempio che ha fatto scalpore al livello mondiale è il fenomeno “deepfake” che è nato da circostanze simili. Ricordiamo che dati apparentemente meno importanti come le immagini personali, possono essere utilizzati da Criminal Hacker per la ricostruzione di dati biometrici, tale dati che permettono l’accesso alle App o sbloccare il telefono.

Le App social invece possono, poichè è previsto dai termini d’uso, condividere con terzi la tua posizione tramite rilevamento GPS del dispositivo. Tra questi risultano ovviamente le app più comuni e che fanno capo ai social più utilizzati a livello mondiale. Citati dati possono essere concessi facoltativamente alle app, dato che vengono raccolti per migliorare il servizio offerto. Sarà sufficiente, ma sopratutto consigliato, accedere alle impostazioni dell’app e verificare quali autorizzazioni sono state concesse nella sezione “Geolocalizzazione”.

Utilizzo delle App da privati e professionisti

Anche in queste App, i consensi facoltativi riguardano quelli relativi all’uso della fotocamera e l’accesso video/audio. Nota importante per privati e professionisti: a rispetto della normativa sulla privacy è sempre opportuno chiedere il consenso di tutte le persone riprese prima di diffondere online le loro immagini o altri dati sensibili.

Particolare attenzione va posta anche sulle App di dating, appuntamenti online e quelli di fitness. Tali applicazioni, per il loro scopo particolare, necessitano di dati personali particolari, come lo stato relazionale, le preferenze sessuali, dati di salute come pressione sanguigna o frequenza cardiaca. A questi si aggiungono spesso i dati di localizzazione per circoscrivere l’area d’abitazione o per tracciare percorsi di allenamento.

È chiaro che anche in questi casi si raccomanda di controllare a priori a chi potranno essere trasmessi tali dati e con quali finalità. Inoltre, i dati relativi all’allenamento potranno essere condivisi (manualmente o automaticamente sui social). Utilizzando tale App consigliamo di verificare la sezione “Impostazioni” per decidere se attivare la condivisione automatica e con chi condividere tali dati. Quindi risulta fondamentale riflettere anche qui a chi prestare il consenso all’utilizzo e alla condivisione dei propri dati. Ma va concesso comunque solo nel caso in qui è espresso precisamente lo scopo. In ogni caso, ognuno può prevenire e ridurre i rischi di sicurezza prima di scaricare e installare un App sul proprio dispositivo.

Alcuni accorgimenti consigliati per i social network e le app:

  • Impostare password complesse e sicure, aggiornandole costantemente
  • Aggiornare tempestivamente le applicazioni e il sistema operativo del dispositivo
  • Installare antivirus aggiornatòicon funzioni di protezione dei dati personali
  • Verificare la provenienza dell’applicazione e verificare la sua affidabilità anche tramite recensioni
  • Differenziare gli accessi tra maggiorenni e minorenni sullo stesso dispositivo
  • Leggere sempre attentamente i termini e le condizioni d’uso

Attenersi scrupolosamente alle raccomandazioni del Garante

Collegandoci a quanto sta succedendo in questi giorni sui Social network riguardo l’annuncio di WhatsApp di aggiornare la propria Informativa sulla privacy, si direbbe che le precauzioni non bastino. Possiamo trovare in rete le più svariate speculazioni e ipotesi che, andando a leggere attentamente l’annuncio ufficiale, si verificano tutte false o scorrette.

A questo punto ci viene quasi spontanea la domanda a quale scopo allora vengono pubblicate tale falsità che, come si è verificato, porta ad una fuga d’utenti da WhatsApp verso altre app di messaggistica istantanea come Messenger o Signal.

Come verificare quale app è sicura?

Va detto subito che, correre dietro a un’unica opinione o una pubblicazione senza verificare la fonte e magari incrociare le informazioni con altre fonti, non può essere la strada più sicura.

Come già riportato sopra, anche e soprattutto nei social network ci vuole un pò di buon senso, di cura e attenzione verso i propri dati personali oltre ai requisiti tecnici che vanno offerti da tale applicazioni. Vediamo quindi di che requisiti si tratta e chi ne dispone e chi no.

Requisito fondamentale per la sicurezza dei nostri dati online è la crittografia end-to-end (E2EE) per impostazione predefinita. Ciò significa: che si tratta di un sistema di comunicazione cifrata nel quale solo le persone che stanno comunicando possono leggere i messaggi.

Quindi prima di lasciare WhatsApp per le annunciate modifiche nell’Informativa sulla privacy che, tra l’altro, non riguarda gli utenti europei e che pare siano state comunque bloccate, vale la pena verificare preventivamente le altre App.

Telegram, Signal e Facebook Messenger

Telegram ha registrato in 72 ore oltre 25 milioni di nuovi iscritti, utenti spaventati da qualcosa di non ben definito ma chiamato Privacy e fuggiti da WhatsApp. Ma Telegram non è crittografato end-to-end per impostazione predefinita a differenza di Signal che dispone della crittografia end-to-end per impostazione predefinita. Signal è un classico prodotto “messenger” crittogaraffato e2e mentre Telegram si comporta più come un social network più messenger e non è e2e per impostazione predefinita, nemmeno Facebook Messenger lo è.

Quindi recapitolando abbiamo WhatsApp che ha il segnale sempre criptato end-to-end per amici e familiari. Il backup va fatto localmente nel posto che decide l’utente con le misure di protezione definite dallo stesso. È noto che WhatsApp salva e condivide con la company Facebook i Metadati delle chat.

Poi c’è Telegram che non è e2e per predefinizione ma spiega perfettamente cosa cifrano e cosa no. Quindi hanno scelto di preservare usabilità e sicurezza, in questo modo per le chat che non contengono informazioni sensibili gli utenti possono usufruite di backup in cloud e trasferire facilmente le loro chat su un altro device.

In più abbiamo Signal che offre solo la crittografia e2e per impostazione predefinita. Ma se il proprio dispositivo muore si perdono tutte le informazioni delle chat perché, per fare la migrazione, servono le chiavi fisiche salvate nel device. Pare quindi, che la scelta migliore sia quella di Telegram. Ma solo se l’utente legge molto attentamente le istruzioni prima di usare il prodotto al fine di scegliere le modalità di protezione più adatte.

Le modifiche annunciate di WhatsApp

Per completare questo post con tutte le informazioni rimane ancora da chiarire quali dovevano essere le modifiche annunciate da WhatsApp.

Innanzitutto va detto che l’aggiornamento dell’Informativa non riguarda in alcun modo la privacy dei messaggi scambiati tra amici e famigliari. Tale modifiche riguardano lo scambio di messaggi con le aziende per offrire maggiore trasparenza sulle modalità di raccolta e l’utilizzo dei dati da parte di WhatsApp. Quindi riguarda i servizi di WhatsApp Business.

Ricordiamo che nè WhatsApp nè Facebook possono leggere i messaggi personali o ascoltare le chiamate WhatsApp effettuate tra amici e famigliari. Tutti gli scambi d’informazioni rimangono personali perché i messaggi sono crittografati end-to-end per impostazione predefinita. WhatsApp non tiene traccia delle persone chiamate o a cui si invia messaggi per minimizzare il rischio per la sicurezza dei dati e quindi per la tutela di oltre due miliardi di utenti.

La localizzazione

Lo stesso vale per le posizioni condivisi dall’utente, tale informazione condivisa su WhatsApp è protetta dalla crittografia e2e, il che significa che nessuno può vederla ad eccezione delle persone con cui è stato condivisa.

Inoltre sui social network non vanno condivisi i dati contatti degli utenti con Facebook. In base al consenso fornito dall’utente Facebook può accedere solo ai numeri di telefono della rubrica. In nessun modo tali numeri vanno condiviso con alte applicazioni offerte da Facebook. Lo stesso vale per i gruppi che rimangono privati e sono protetti dal servizio spam e usi impropri. Un ulteriore servizio di protezione per i messaggi istantanei e l’opzione “effimeri” che rende i messaggi non più visibili dopo l’invio.

Infine, per adempire ai requisiti del GDPR, l’utente può vedere e scaricare i propri dati direttamente sull’account dell’applicazione e chiedere il trasferimento e la cancellazione di tutti i dati contenuti.

Resta sempre vero il fatto che l’informativa fornita da WhatsApp è piuttosto incomprensibile per un semplice utente. È capire qualcosa tra regole che non si applicano in Europa e clausole invece applicabili, resta un’impresa. Certo è che il GDPR prevede che il consenso vada inteso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Conclusioni

Se WhatsApp quindi dovesse rimanere con la propria intenzione dell’avviso “o si accetta subito le nuove regolamentazioni o al massimo si può attendere fino all’8 febbraio 2021” si tratterebbe di un “doveroso consenso” e quindi palesemente non in sintonia con quanto previsto dalla normativa europea.

Staremo a vedere che cosa succederà nei prossimi giorni. Pare comunque che sia giunto un chiarimento da un porta voce di WhatsApp in merito alle modifiche che interesserebbe l’area UE. Tale chiarimento riporta:”Non ci sono modifiche alle modalità di condivisione dei dati di WhatsApp nella Regione europea, incluso il Regno Unito, derivanti dall’aggiornamento dei Termini di servizio e dall’Informativa sulla privacy.”

Nota: Il mondo digitale si sta muovendo verso una filosofia “mobile first”, dove tutto transita da e verso gli Smartphone. Tuttavia, il livello di attenzione che viene prestato a quello che ci viene richiesto e ciò che concediamo, in termini di privacy, non è sufficientemente alto. I Criminal Hacker si sono già accorti da tempo di questa lacuna e si stanno muovendo per approfittarne, quindi sta ad ognuno di noi a reagire!

Se riscontrate che anche soltanto un tassello ancora manca e desiderate risolvere tutte le eventuali criticità, cliccate qui sotto e prenotate la vostra consulenza.

gdpr monitoraggio

GDPR: come si svolge il monitoraggio?

L’importanza dell’audit nell’ambito privacy

Lo strumento utile a disposizione del titolare del trattamento dei dati è l’Audit. Con tale strumento dimostra la propria accountability e l’adeguamento al GDPR. Come già spiegato in altre occasioni, la procedura dell’audit richiede professionisti specializzati e il rispetto di diverse fasi operative. Non si può improvvisare!

Un termine chiave e per tanti sicuramente nuovo, nell’ambito della protezione dei dati, è l’Accountability. Ma di che cosa si tratta? L’art.5.2 del GDPR enuncia che il titolare è il soggetto a cui compete il rispetto dei principi generali di trattamento. Lui deve essere in grado di “comprovarlo” attraverso misure tecniche ed organizzative adeguate. Il concetto di accountability (che significa responsabilità) viene ulteriormente rafforzato dall’art.24 che afferma che tali misure devono essere riesaminate ed aggiornate. Quindi le nostre parole chiave oggi sono: responsabilità, controllo, aggiornamento e mantenimento. Ciò significa che il titolare del trattamento deve mettere in atto un programma di monitoraggio dei propri sistemi di protezione dei dati con il quale tiene aggiornato nel tempo i processi. Strumento ottimale per tale scopo è l’attività di audit.

Prevenire non mitigare grazie al GDPR

Teniamo quindi presente che il GDPR non prevede un adeguamento una tantum, ma richiede una manutenzione continua. Come risulta in uno studio a cura della Commissione Europea, del 2019, l’Italia occupa il penultimo posto in merito alla conoscenza della norma e alle attività svolte dalle autorità di vigilanza. Tra gli elementi carenti risulta la mancanza dei processi documentati e dimostrabili, la carente gestione dei reclami e l’assenza dei registri di trattamento dei dati. È quindi evidente il fatto che si deve lavorare ancora molto per riuscire a colmare il gap esistente tra adempimento formale e adempimento sostanziale. Una lacuna che spesso si verifica nelle aziende, è proprio la mancanza di verifiche, di piani di controlli preventivi. 

Va ricordato che si deve prevenire il rischio e non mitigare. Perché la maggior parte dei data breach accadono proprio a causa della mancanza dei controlli periodici adeguati. Evitare tale disastri sarebbe quindi possibile, se si adottasse un efficace comportamento “proattivo”. A rafforzare l’importanza di questo approccio preventivo e anche questa affermazione di Stefano Rodotà: “i dati personali degli oltre 500 milioni di abitanti dei 28 Paesi dell’Unione Europea nel 2020 avranno un valore commerciale stimato attorno ai 1.000 miliardi di euro”. Un dato che esprime chiaramente quanto sia accattivante entrare in possesso di questi dati come quanto sia quindi fondamentale proteggerli.

Il valore dei dati protetti dal GDPR

I dati personali rappresentano un enorme valore per l’azienda e vanno di conseguenza custoditi e protetti, non utilizzati a piacimento. Risulta quindi di fondamentale importanza conoscere le criticità legate al trattamento dei dati personali nel operato quotidiano. Non solo per proteggerli ma anche perché rappresenta un “asset” di competitività sul mercato.

Sorge a questo punto la domanda: un titolare può dimostrare la propria “accountability” e mantenerla aggiornata nel tempo? La risposta è chiara e netta: Sì. Il titolare può dimostrare la sua responsabilità adottando un approccio globale di gestione dei dati personali. Questa gestione deve prevedere un piano di verifiche e monitoraggio del proprio sistema della protezione dei dati personali. Volto ad individuare preventivamente eventuali carenze e individuare quelle azioni di rimedio utili a garantire nel tempo un adeguato livello di conformità al GDPR.

Che cos’è l’audit

Vediamo quindi che cos’è l’audit nel ambito privacy e GDPR. Si tratta di un processo di valutazione indipendente che si svolge periodicamente sulla base di un’attività di campionamento. Lo scopo è di ottenere evidenze relative ad un determinato contesto di analisi e valutarle con obiettività. Risultato della verifica sarà di stabilire in quale misura i criteri prefissati siano stati raggiunti o meno. Il concetto di audit può essere applicato a molte attività. Comprese quelle della gestione dei dati, fungendo da strumento di verifica, come richiesto dal GDPR. Utile per tale attività risulta essere la norma ISO 19011. Si tratta di una linea guida sull’audit di sistemi di gestione, nonchè gestione dei programmi di audit e la conduzione degli stessi.

La norma può essere applicata a qualsiasi organizzazione che ha l’esigenza di pianificare e condurre un audit interno o esterno di sistemi di gestione. L’audit è lo strumento più importante per valutare se i requisiti vengono applicati in modo coerente e con regolarità nell’ambito dei processi e se il sistema produce i risultati desiderati.

Chi è l’auditor e qual è il suo ruolo nell’adeguamento al GDPR

Il Lead auditor e l’auditor sono membri di un team che esegue appunto l’audit. Il lead auditor è il responsabile del team e, una volta incaricato, tutte le singole attività sono sotto la sua responsabilità, sulla base di quanto previsto dalla procedura di riferimento. L’auditor invece esegue le direttive del responsabile del team e accetta le sue decisioni. Diamo per scontato che tale figure abbiano le caratteristiche personali e le competenze per effettuare un audit nell’ambito GDPR. Si tratta quindi di esperti della data protection sia a livello giuridico che informatico. Colui che svolge il ruolo di auditor, deve essere oggettivo, imparziale e, soprattutto, non deve avere conflitti di ruolo con l’oggetto dell’audit. In pratica, non deve avere responsabilità dirette con l’organizzazione o con il dipartimento interessato dall’attività di valutazione.

Una caratteristica molto importante dell’auditor è la spiccata capacità comunicativa. Una buona capacità di gestione delle risorse umane in modo assertivo, oltre all’abilità di persuadere grazie alla condivisione più che al mero e burocratico richiamo a prescrizioni e regolamenti, rendono il quadro professionale completo. Altrettanto fondamentale è lo spirito di osservazione e la capacità di giungere tempestivamente a conclusioni basate sull’analisi e su ragionamenti logici. Importante ricordare che le informazioni relative all’audit sono riservate e non devono essere utilizzate impropriamente per vantaggi personali.

I compiti del lead auditor

Quali sono i primari compiti che competono al responsabile dell’audit?

  • assicurasi della fattibilità dell’audit
  • scegliere i membri del team
  • prendere contatti con il referente dell’organizzazione
  • gestire tutta la comunicazione durante tutto il processo
  • raccogliere la documentazione e approfondire eventuali normative applicabili
  • effettuare l’analisi documentale
  • definire il programma di audit
  • preparare le liste di controllo di audit
  • gestire il team
  • gestire le riunioni di apertura e chiusura dell’audit
  • formulare le risultanze
  • redarre e gestire l’approvazione del rapporto di audit

Gli obiettivi e il piano dell’audit

L’obiettivo di un audit deve essere fissato in modo chiaro e condiviso e può essere rivolto per esempio alla:

  • verifica del grado di conformità alla normativa vigente
  • verifica del grado di conformità tra data protection policy e comportamenti dei dipendenti
  • accertamento del livello di conformità al GDPR e alle policy aziendali di un fornitore di servizi, al fine di valutare che i requisiti dichiarati e concordati nella fase iniziale di stesura dell’accordo, sia stati rispettati e mantenuti nel tempo
  • accertamento dell’efficacia di azioni correttive a seguito di una “non- conformità” riscontrata durante un precedente

Il piano d’audit per il GDPR è parte fondamentale per una corretta gestione dell’attività di verifica. Tale piano va condiviso durante la riunione di apertura, quindi prima di iniziare l’attività di audit. In questo modo a tutte le risorse coinvolte sarà possibile comprendere al meglio le attività che si andranno a svolgere. Vediamo di seguito i punti del piano formalizzato preventivamente:

  • gli obiettivi da raggiungere
  • i criteri adottati per raggiungere gli obiettivi e i documenti di riferimento
  • il campo operativo 
  • giorni e i luoghi ;
  • il tempo stimato necessario per le verifiche sul posto
  • la check-list di domande

Il report finale

La conduzione dell’Audit in ambito GDPR, prevede la raccolta e la verifica delle informazioni attraverso l’esame documentale, oltre alle osservazioni dirette e le interviste ai referenti del settore/processo da auditare. Tutte le evidenze raccolte devono essere documentate e verificabili, basate su un campione delle informazioni disponibili poiché l’audit si svolge in un lasso di tempo limitato. Le conclusioni, devono essere documentate attraverso un report finale. Le risultanze dell’audit, che possono essere classificate in non conformità, osservazioni e opportunità di miglioramento, commenti e raccomandazioni devono essere dettagliatamente precisate. In sintesi, i contenuti principali del rapporto di audit sono:

  • obbiettivi, campo di applicazione e criteri dell’audit
  • sedi, luogo e data in cui si è svolto l’audit
  • team di audit e ruoli ricoperti
  • rappresentante dell’organizzazione additata e altre risorse intervistate
  • risultanza dell’audit e la loro classificazione
  • conclusioni dell’audit e valutazioni in merito
  • azioni correttive e azioni di miglioramento

I principi etici dell’attività di audit

Poiché l’auditor si possa trovare in realtà complesse e a volte apparentemente paradossali e non operando da solo ma in team, risulta importante riportare anche i punti fermi di cui si deve conformare l’attività di auditing per potersi definire tale. Una corretta gestione richiede:

  • integrità
  • presentazione imparziale
  • adeguata diligenza/ professionalità
  • Riservatezza
  • Indipendenza
  • approccio basato sull’evidenza

Condurre un audit interno per l’adeguamento al GDPR può essere un compito complesso, sia per un’impresa di grandi dimensioni, sia per una piccola impresa che non possiede le competenze necessarie. La fiducia nel processo di audit e la capacità di raggiungere gli obiettivi dipende dalle competenze delle persone coinvolte. Questa attività può essere svolta sia da un privacy officer interno sia da un auditore esterno. Al DPO, se è stato nominato, è riservato il compito di contribuire alla definizione del piano di verifiche. Sicuramente la scelta più efficace è quella di individuare un team multidisciplinare, che garantisce le competenze adeguate di ogni settore.

L’ampiezza del programma di audit, in termine di numero di attività di verifica da svolgere, nonché le risorse da impiegare, dipendono dalla complessità dell’azienda oltre dalla rilevanza dei trattamenti svolti. Tuttavia, l’adozione un piano di verifiche documentate del proprio sistema di protezione dei dati ha un’importanza strategica nella dimostrazione della responsabilità del Titolare. Inoltre risulta essere utile nel caso di verifica da parte delle autorità di controllo. L’audit aiuta a garantire la competitività sul mercato attraverso un adeguato e sempre aggiornato livello di conformità al GDPR

Per individuare le aree di copertura dell’adeguamento al GDPR da parte del titolare, puoi chiedere il nostro SCHEMA DI VERIFICA. clicca qui

Conclusioni

Partecipare ad un audit GDPR nel ruolo dell’additato è stressante, effettuarlo lo è molto di più. Eseguire l’attività di audit richiede una costante concentrazione, oltre ad un atteggiamento mentale da auditore e la capacità di dare nulla per scontato.

L’audit dovrebbe durare per il tempo strettamente necessario, essere svolto in modo sobrio e pratico, in un clima disteso, aperto e collaborativo. Richiede di lasciare spazio alla professionalità e capacità intuitiva degli auditori, più che al rigore formale. In più serbe focalizzare i gap su cui orientare gli sforzi per migliorare i comportamenti e/o per ottimizzare le procedure.

A riguardo degli obiettivi perseguiti con il GDPR è importante vigilare affinché le attività di verifica siano funzionali al raggiungimento di essi e non residui di regole superate. Tale orientamento non dovrebbe mai essere una mera esecuzione dell’adempimento formale e le attività dovrebbero essere focalizzate alla tutela dei valori, degli asset e del know-how dell’organizzazione.

Eseguire e rendicontare un audit in modo efficiente richiede capacità di sintesi, problem soling e creatività: il lavoro può dare grandi risultati e soddisfazioni.

Se riscontrate che anche soltanto un tassello ancora manca e desiderate risolvere tutte le eventuali criticità, cliccate qui sotto e prenotate la vostra consulenza.