Archivio dell'autore: sicurezzapratica

Valutare la severità di un data breach è il primo passo da compiere prima di effettuare (entro 72 ore) la notifica della violazione dei dati, un obbligo generale introdotto dal Regolamento UE 679/2016 (“GDPR”).

La notifica all’Autorità Garante va effettuata sempre, tranne il caso in cui è improbabile che la violazione presenti un rischio per i diritti e le libertà degli interessati.

Se invece il rischio non soltanto è probabile ma anche elevato, la notifica deve essere fatta anche ai singoli interessati.

Riassumiamo quindi i principali errori che la gestione di un data breach presenta.

Assenza di una procedura scritta di gestione di un evento che comporta la violazione dei dati
Assenza nella comunicazione agli interessati dell’avvenuto data breach, della natura della violazione (es. se vi è stata una violazione della riservatezza)
Ritardo nella comunicazione agli interessati
Descrizione non realistica della violazione nella comunicazione
Assenza nella comunicazione di consigli tecnici sui rimedi, adottabili direttamente dall’interessato, per mitigare le conseguenze dannose della violazione
Utilizzare come strumenti di comunicazione all’interessato, i dati che si ritengono violati. Ad esempio non utilizzare l’email per inviare tale comunicazione, se la violazione riguarda proprio l’email. Valutare mezzi alternativi.

UNA SOLUZIONE SOFTWARE PER IL DATA BREACH
Software valutazione severità Data Breach consente di valutare la gravità di un data breach, utilizzando la metodologia e l’algoritmo dell’ Enisa – l’agenzia europea per la sicurezza delle informazioni, e fornisce le indicazioni relative a:
_ fare/non fare notifica al Garante
_ fare/non fare comunicazione all’interessato
_ effettuare/non effettuare il trattamento dell’eventoIl software funziona su un un algortimo che elabora i dati relativi a tre variabili come definite dalla procedura Enisa negli Anneex 1,2 e 3 :
_ Contesto elaborazione dati
_ Facilità con cui chi ha accesso ai dati violati può identificare i soggetti interessati
_ Circostanze della violazione.L’utente deve scegliere per ogni variabile un valore definito dalla guida Enisa da un menù a tendina. Il software effettua in automatico il calcolo del livello di severità del databreach su 4 livelli: basso, medio, alto, molto alto.Per ogni livello di severità il software fornisce in automatico le indicazioni relative a:
_ fare/non fare notifica al Garante
_ fare/non fare comunicazione all’interessato
_ effettuare/non effettuare il trattamento dell’eventoIn base a queste informazioni il titolare dei trattamenti dati può valutare che cosa fare. L’esito è stampabile e allegabile alla documentazione della gestione del data breach.
Guarda la video demo

Garante privacy: no al controllo indiscriminato dei lavoratori

Rispondi

Non è possibile monitorare la navigazione internet dei lavoratori in modo indiscriminato. Indipendentemente da specifici accordi sindacali, le eventuali attività di controllo devono comunque essere sempre svolte nel rispetto dello Statuto dei lavoratori e della normativa sulla privacy.

È quanto affermato dal Garante per la protezione dei dati personali in un provvedimento sanzionatorio nei confronti del Comune di Bolzano, avviato sulla base del reclamo presentato da un dipendente che, nel corso di un procedimento disciplinare, aveva scoperto di essere stato costantemente controllato. L’amministrazione, che inizialmente gli aveva contestato la consultazione di Facebook e Youtube durante l’orario di lavoro, aveva poi archiviato il procedimento per l’inattendibilità dei dati di navigazione raccolti.

Dagli accertamenti del Garante è emerso che il Comune impiegava, da circa dieci anni, un sistema di controllo e filtraggio della navigazione internet dei dipendenti, con la conservazione dei dati per un mese e la creazione di apposita reportistica, per finalità di sicurezza della rete. Sebbene il datore di lavoro avesse stipulato un accordo con le organizzazioni sindacali, come richiesto dalla disciplina di settore, il Garante ha evidenziato che tale trattamento di dati deve comunque rispettare anche i principi di protezione dei dati previsti dal Gdpr. Il sistema, implementato dal Comune, senza aver adeguatamente informato i dipendenti, consentiva invece operazioni di trattamento non necessarie e sproporzionate rispetto alla finalità di protezione e sicurezza della rete interna, effettuando una raccolta preventiva e generalizzata di dati relativi alle connessioni ai siti web visitati dai singoli dipendenti. Il sistema raccoglieva inoltre anche informazioni estranee all’attività professionale e comunque riconducibili alla vita privata dell’interessato.

Nel provvedimento l’Autorità ha rimarcato che l’esigenza di ridurre il rischio di usi impropri della navigazione in Internet non può portare al completo annullamento di ogni aspettativa di riservatezza dell’interessato sul luogo di lavoro, anche nei casi in cui il dipendente utilizzi i servizi di rete messi a disposizione del datore di lavoro.

Nell’ambito dell’istruttoria, sono state inoltre riscontrate violazioni anche in merito al trattamento dei dati relativi alle richieste di accertamento medico straordinario da parte dei dipendenti, effettuate attraverso un apposito modulo, Il modulo, messo a disposizione dall’amministrazione, prevedeva la presa visione obbligatoria da parte del dirigente dell’unità organizzativa, circostanza che comportava un trattamento di dati sulla salute illecito.

Il Garante, tenendo conto della piena collaborazione dell’amministrazione, ha disposto una sanzione di 84.000 euro per l’illecito trattamento dei dati del personale. Il Comune dovrà anche adottare misure tecniche e organizzative per anonimizzare il dato relativo alla postazione di lavoro dei dipendenti, cancellare i dati personali presenti nei log di navigazione web registrati, nonché aggiornare le procedure interne individuate e inserite nell’accordo sindacale.

Sono stati pubblicati due nuovi bandi per incarico DPO e RSPP su preventivo.info

Rispondi

1) Bando DPO – Emilia Romagna – Importo incarico: 125.000 euro – Scadenza: 25/6/2021

2) Bando incarico RSPP – Toscana – Scadenza: 25/6/2021 – Importo incarico: 24.650 euro

FAQ: Organismo di vigilanza 231 e DPO sono ruoli compatibili?

Rispondi

FAQ: Organismo di vigilanza 231 e DPO sono ruoli compatibili?

L’associare la figura dell’ Organismo di vigilanza 231 a quella del Data Protection Officer (DPO) è un dibattito che spesso si ritrova in molte aziende.

Vediamo di fare chiarezza una volta per tutte!

L’ODV, ha il ruolo di controllare e vigilare sul funzionamento e sull’applicazione corretta del Modello di Organizzazione, Gestione e Controllo adottato dall’azienda (art. 6 del Decreto Legislativo 231/2001)Il D.Lgs 231/2001 non fornisce indicazioni riguardo la composizione dell’ODV (monocratico o collegiale) e su eventuali incompatibilità dei suoi componenti.
Su tale argomento si limita a specificare, sempre all’art. 6 ma comma 1 lett. b) che deve avere “autonomi poteri di iniziativa e di controllo” i quali garantiscano una vigilanza effettiva.

Gli strumenti per gestire l’attività dell’organismo di vigilanza

La figura di Data Protection Officer, è stata introdotta dal GDPR (Regolamento UE 2016/679), e ha il compito di informare e fornire consulenza al titolare del trattamento sugli obblighi derivanti dalla normativa in materia di protezione dei dati personali e di sorvegliare l’osservanza della normativa applicabile e delle politiche del titolare in materia di protezione dei dati.

L’art. 39 del Reg Ue 2016/679 sottolinea come il DPO si deve occupare di responsabilizzare, sensibilizzare e formare il personale che partecipa ai trattamenti; di fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati; di cooperare con l’autorità di controllo e di fungere da punto di contatto per essa (art. 39 GDPR).Il tutto in piena indipendenza e autonomia (considerando 97 del Reg. Ue 2016/679), riferendo soltanto all’alta direzione.

Quindi gli elementi comuni del DPO e dell’Organismo di vigilanza sono:
_ autonomia
_ indipendenza
_ attività di supervisione e controllo nei loro ambiti

La domanda è quindi: può la medesima figura occupare contemporaneamente il ruolo di DPO e di Membro Organismo di vigilanza?

CORSO ON LINE AGGIORNAMENTO DPO

Dal punto di vista normativa non vi è alcun divieto! Vi sono però due elementi da considerare.

1) Competenze specifiche
Al DPO sono richieste specifiche competenze in ambito privacy e data protection. Il membro dell’organismo di vigilanza deve possedere competenze diverse, più gestionali e pluri-settoriali (es. tecniche e giuridiche).

2) Conflitto d’interessi del DPO
Come emerge dalle linee guida del WP29 (WP 243 rev.01), il DPO può ricoprire altre funzioni all’interno dell’organizzazione purchè queste non diano luogo a conflitti di interesse. Ovvero il DPO non può ricoprire posizioni che comportino la determinazione di finalità e modalità di trattamento di dati personali.
Il Garante ha poi indicato nelle FAQ disponibili sul sito del Garante stesso, che il DPO non può ricoprire ruoli manageriali e direzionali, ruoli assimilabili per chi scrive anche all’Organismo di vigilanza 231.

Pertanto non è consigliabili fare ricoprire il ruolo di DPO e di membro organismo di vigilanza al medesimo soggetto.

Autore: Dr. Matteo Rapparini
CEO Edirama – Bologna
www.edirama.org
www.consulenza231.org
www.consulenzaprivacy.org
www.alert231.it
www.clubdpo.com
Presidente Associazione Data Protection Europei
www.adpoe.eu

Guarda il profilo su Linkedin

Nuovo bando DPO – Importo incarico: 75.0000

Rispondi

Nuovo bando DPO – Importo incarico: 75.000

L’uso di Whatsapp ai fini aziendali può portare a sanzioni privacy – ecco come evitarle

Rispondi

L’uso di Whatsapp ai fini aziendali può portare a sanzioni privacy – ecco come evitarle

L’utilizzo di Whatsapp dei dipendenti per lavoro, è un comportamento che mette in grave pericolo la sicurezza e la privacy aziendale.

C’è la concreta possibilità di perdere enormi quantità di dati e informazioni indispensabili per lo svolgimento delle attività aziendali.

Parallelamente vi è il pericolo che documenti e informazioni riservate diventino pubbliche con ripercussioni negative ed eventuali richieste risarcitorie

L’uso non regolamentato di Whatsapp in azienda presta il fianco anche a cyber attacchi da parte di hacker senza scrupoli.

Cosa può fare l’azienda al fine di mettere in sicurezza l’utilizzo di Whatsapp?

La soluzione ideale sarebbe quello di vietarne l’uso, ma come recenti ricerche hanno evidenziato, il suo utilizzo è talmente radicato nella quotidianità lavorativa che tale misura è impossibile da applicare.

l 75% dei dipendenti usa infatti WhatsApp o altre app di messaggistica e software di videoconferenza online per condividere dati sensibili, e il 71% di essi confessa di usare queste applicazioni per inviare informazioni critiche dell’azienda per cui lavora. Ad evidenziarlo è uno studio di Veritas Technologies, azienda specializzata nella produzione di soluzioni tecnologiche per la protezione dei dati, che ha intervistato 12.500 colletti bianchi di quattro continenti. (fonte: Feder Privacy).

La stessa Feder Privacy ha svolto un’indagine su un campione di circa mille professionisti e manager d’impresa italiani, dalla quale è emerso che la metà degli intervistati (52%) utilizza – più o meno spesso – il proprio smartphone per fotografare documenti di lavoro riservati e spedirli tramite WhatsApp o un’altra app simile. Peccato che circa uno su quattro di essi (24%) ammetta anche che ogni tanto sbaglia destinatario, e a preoccupare maggiormente è il fatto che tra le informazioni scambiate tramite queste applicazioni vi sono password aziendali, dettagli delle carte di credito, dati dei clienti, piani strategici, informazioni bancarie e salariali, e persino risultati dei test Covid-19 dei dipendenti con relativi dettagli medici. (fonte: Feder Privacy)

La prima cosa da fare è formare i propri dipendenti sui pericoli e le conseguenze relative a utilizzare Whatsapp ai fini professionali.
In questa comunicazione formativa occorre comunicare quali siano i mezzi da utilizzare quando il dipendente si trova ad gestire informazioni che trattano dati aziendali.

E’ fortemente consigliabile utilizzare delle piattaforme appositamente progettate la massima protezione della privacy dei clienti e dei dati aziendali.

Per risolvere la problematica delle conseguenze legali legate a un utilizzo improprio di Whatsapp da parte dei dipendenti, abbiamo realizzato Check up Privacy Whatsapp è il software che consente di individuare gli aspetti privacy sanzionabili nell’utilizzo aziendale di Whatsapp.

Il 75% dei dipendenti utilizza WhatsApp o altre app di messaggistica istantanea e software di videoconferenza online come Teams e Zoom per condividere dati sensibili, e il 71% di essi ammette di usare queste applicazioni per inviare informazioni critiche riguardanti l’azienda per cui lavora.

Per questo, quasi un terzo (30%) degli impiegati è stato già ammonito dai propri responsabili dopo aver inviato tali dati confidenziali tramite canali non consentiti dalle procedure interne.

Se il management non ne approva l’utilizzo le organizzazioni potrebbero incorrere in problemi di non conformità riguardanti le normative sulla privacy, Gdpr incluso. E se lo approva l’utilizzo deve essere conforme al GDPR stesso.

Con questo software è possibile individuare eventuali aspetti critici nell’utilizzo di Whatsapp a fini aziendali, e correggerli per evitare sanzioni anche gravi.

Il software lavora su un algortimo che consente, rispondendo a 15 quesiti specifici, di individuare:
_il livello di rischio non conformità privacy GDPR nell’uso di Whatsapp a livello aziendale
_ i consigli operativi per evitare le eventuali sanzioni privacy