Come nascono le ispezioni
Le ispezioni che il Garante per la Privacy svolge, o tramite il proprio Dipartimento Ispettivo o tramite il Nucleo Speciale della Guardia di Finanza, rientrano all'interno del c.d. piano ispettivo. Sono quindi diretta conseguenza di questo piano oppure nascono da segnalazioni, reclami o esposti sottoposti all’Autorità.
I controlli possono essere svolti direttamente presso i locali delle aziende o organizzazioni per verificare la corretta applicazione della normativa in tema di trattamento dei dati personali.
Le ispezioni possono essere “annunciate” dal Garante o dalla GdF tramite una comunicazione, tramite PEC o fax (spesso solo il giorno prima dell’arrivo) ma possono anche avvenire a sorpresa. E' opportuno quindi istruire adeguatamente, ad esempio, chi controlla la PEC dell’organizzazione (o il fax, se qualcuno lo usa ancora) su come avvisare subito i vertici in modo da prepararsi all’arrivo degli ispettori.
Il perimetro nell'ambito del quale si svolgerà l'ispezione, è definito attraverso un documento, notificato al momento dell’accesso nella sede dell'azienda o dell'organizzazione, chiamato “richiesta di informazioni”; con questo documento il Garante domanda come siano stati assolti determinati obblighi legislativi o regolamentari in materia di protezione dei dati personali.
La richiesta di informazioni, per esempio, può includere come venga data l’informativa agli interessati, come venga raccolto il consenso ove necessario, come vengano contrattualizzati i responsabili esterni del trattamento, quali misure di sicurezza siano applicate, per quanto tempo e come vengano conservati i dati trattati ecc.
Gli ispettori possono:
- accedere agli uffici o luoghi dell’ispezione (anche presso la residenza privata), dalle 7 alle 20 ed anche per più giorni.
- richiedere ogni documento e ogni informazione oggetto ed utile alla verifica.
- apporre i sigilli su strumenti, locali, database e documenti.
- svolgere interrogatori a tutto il personale coinvolto.
Gli ispettori non possono:
- chiedere o cercare documenti che non hanno alcun collegamento con l’oggetto dell’ispezione.
- richiedere o pretendere l’originale dei documenti. Bisogna sempre consegnare sempre e soltanto copie dei documenti e degli atti oggetto dell’ispezione.
- effettuare interviste o porre domande non pertinenti né rilevanti o che non hanno attinenza con l'ispezione.
E' veramente molto importante non essere evasivi, rispondere in modo corretto e chiaro, essere collaborativi con l'autorità. Avere delle procedure chiare e della documentazione a supporto, aiuta ad evitare risposte generiche, poco chiare o non corrette.
Vi ricordiamo che ostacolare l’esecuzione di una ispezione porta con se conseguenze pesanti:
1. sanzioni amministrative, fino a 20.000.000 euro o il 4% del fatturato globale, per il mancato riscontro alla richiesta di informazioni o negato accesso ai dati o ai locali;
2. sanzioni penali, fino a tre anni di reclusione, per false dichiarazioni o false attestazioni o produce atti e documenti falsi;
3. sanzioni penali, fino ad un anno di reclusione, per chi intenzionalmente provoca un’interruzione o turba l’esecuzione di un procedimento.
Qualora gli ispettori richiedessero la produzione di documentazione rilevante (ad es. informative, contratti, policy ecc.), tipicamente devono essere prodotti in 15 giorni (dalla notificazione della richiesta di informazioni e quindi dal primo giorno di ispezione). Quindi, il caso di non essere in grado di soddisfare immediatamente una o parte delle richiesta dell’Autorità non è così infrequente. Nel caso in cui la richiesta di documentazione riguardi atti e documenti riservati, si consiglia di anonimizzare o cancellare le parti che non si desidera e che non è necessario mettere a disposizione dell’Autorità (per esempio, i termini economici di un contratto con un cliente o fornitore).
Quali sono le fasi di una ispezione
La comunicazione della ispezione.
Quando si riceve avviso della imminente ispezione, o quando si dovesse ricevere una visita ispettiva a sorpresa, si dovranno informare i vertici dell'azienda o dell'organizzazione, tipicamente il titolare del Trattamento o il suo delegato, e tutti i soggetti che verranno coinvolti nella ispezione stessa (ad esempio il legale, il DPO se nominato,). E' opportuno quindi avere una procedura, conosciuta da tutti, su come comportarsi in questa evenienza.
Chiederemo quindi di verificare l'autorizzazione all'ispezione.
Una check list dell'accountability.
Il punto di partenza di una ispezione è il registro dei trattamenti. Tale registro non è sempre obbligatorio ma, proprio in queste evenienze è più che mai opportuno averlo predisposto. Dalla check list, in funzione del trattamento o del processo preso in esame dalla ispezione, sarà possibile con facilità avere contezza di tutti i documenti, le procedure e gli strumenti adottati nell'ambito aziendale ino al momento della ispezione.
La documentazione e le evidenze.
Le evidenze che si andranno a ricercare, i documenti e le misure organizzative che verranno verificate, sono le seguenti:
Un piccolo capitolo a parte meritano le evidenze che riguardano attività promozionali di telemarketing, a maggior ragione se vengono svolte su incarico di società terze. Tutta la documentazione relativa, elenchi, report, verbali, contratti, andranno messi a disposizione, sempre in copia, dei funzionari e degli ispettori.
In questi casi le verifiche riguarderanno:
La verifica delle misure tecniche.
Necessariamente le verifiche riguarderanno anche le misure tecniche ai sensi dell’art. 32 del GDPR. Si ricorda che non esistono misure minime analogamente a quanto era previsto nell'all. B in vigore della 196/2003, ma misure idonee a garantire la protezione dei dati personali e l'esercizio dei diritti da parte degli interessati.
Il titolare del trattamento, sempre in ottica accountability e in quanto opportunamente responsabilizzato, deciderà quali sono le misure tecniche da implementare. In tale ottica è necessario che il titolare abbia giusta contezza delle misure tecniche adottate e possa essere in grado di motivare le prorpie scelte.
In particolare occorrerà indicare tutte le misure adottate per accedere alle banche dati o alle varie cartelle presenti (username e password – modalità di autenticazione - livelli di autorizzazione); quali backup vengono effettuati e con quali modalità; se sono presenti software antivirus e/o sistemi antintrusione; se esistono degli alert sui sistemi e come vengono gestiti.
A tal fine è opportuno coinvolgere l'amministratore di sistema e/o il responsabile esterno del trattamento ed ottenere, per poterla produrre, una relazione sullo stato dei sistemi (gap analysis) ed un piano di implementazione sulle misure da attuare; è anche consigliabile tenere un registro o un documento con lo stato delle revisioni e delle implementazioni.
Concusione.
Certamente “subire” un’ispezione non è piacvevole. Tuttavia prepararsi in maniera adeguata aiuta ad affrontarla con serenità e, soprattutto, al fine di ottenere un esito positivo è necessario arrivare preparati, conoscere la materia, non improvvisare, essere collaborativi e rispondere con competenza e professionalità alle domande degli ispettori e restare calmi!
Non sempre, anzi nella maggior parte dei casi, non è semplice gestire tutto questo internamente; per questo è importante scegliere con accortezza il consulente che ci affiancherà nella gestione del processo di adeguamento, diffidando da chi adotta un approccio semplicistico e minimizzando la portata della norma.
Non si tratta necessariamente di investire cifre impegnative o risorse importanti: si tratta di scegliere un consulente competente a 360° non solo sulla normativa cogente di riferimento (Regolamento UE 2016/679, D.lgs 196/2003, D.lgs 101/2018), ma anche sulle norme tecniche di riferimento (ISO 31000 “Risk Management”, ISO IEC 27001:2016 “Sistema di Gestione della Sicurezza delle Informazioni”, ISO IEC 29100:2011 “Privacy Framework”, UNI EN ISO 9001:2015 “Sistema Qualità o SGQ”), sulle varie norme nazionali collegate, nonchè con adeguate competenze tecniche sui sistemi informatici, sugli strumenti software ed hardware.
Fonti:
Col. Marco Menegazzo Comandante Nucleo Ispettivo Privacy GdF
Dott. Giuseppe Giuliano Funzionario Dipartimento Ispettivo del Garante per la Protezione dei Dati Personali
Microsoft ha rilasciato un aggiornamento ma non è sufficiente scaricarlo per risolvere il problema con PrintNightmare. E' necessario seguire una procedura manuale. Ecco come fare. Questo articolo è un aggiornamento del precedernte (potete trovarlo cliccando qui), dato che la situazione è in continua evoluzione: aggiornamenti non ufficiali o che non funzionano, nuove patch rilasciate da Microsoft, istruzioni complicate per gli utenti, ecc. Cos'è PrintNightmare? La vulnerabilità PrintNightmare, che sta causando parecchi problemi agli utenti di Windows 10 ed ai reparti IT di supporto, è...
Scritto da: Luigi DuraccioAnche a causa della pandemia che ci ha indistintamente colpiti l'anno passato, questa estate le vacanze sono qualcosa a cui ciascuno di noi ambisce ancora con più intensità. Un periodo in cui "staccare la spina", scollegarsi dall'ufficio, dai colleghi, per tuffarsi in ciò che amiamo di più fare: dedicare tempo alla famiglia, sport, un viaggio (qualcosa di impensabile l'anno scorso!!), leggere uno o più libri, insomma, fare ciò che ci piace fare. Il periodo quindi che si avvicina in fretta porterà tutte le...
Scritto da: Luigi DuraccioPrintNightmare è una grave falla nella sicurezza di windows. Per gli utenti sta diventando un incubo. In attesa che Microsoft risolva vi dico cosa fare. Questo articolo è un po’ lungo ma, vista la pericolosità della minaccia, ho ritenuto necessario dare una informazione più completa possibile e soffermarmi su concetti che non sono proprio facili. Inoltre qui è in gioco la sopravvivenza della tua azienda! Dedica allora 5 minuti alla lettura dell’articolo fino in fondo: non te ne pentirai! Qualche giorno fa è emersa...
Scritto da: Luigi DuraccioNei codici QR si nascondono dei pericoli che i sistemi di protezione non rilevano. E i cyber criminali li usano per gli attacchi informatici. Con l’arrivo del green pass oramai tutti conosciamo i Codici QR. Per la verità vengono usati già da tempo, in molte occasioni, perché in un piccolo quadratino si possono inserire una grande quantità di informazioni. Inoltre è molto facile da usare: basta inquadrarlo con la fotocamera del cellulare ed automaticamente abbiamo accesso alle informazioni che contiene. Grazie alla versatilità e velocità con cui si possono trasmettere una...
Scritto da: Luigi DuraccioDi Marco Govoni Quotidianamente, per la mia attività lavorativa, mi trovo nel "maneggiare" una mole importante di informazioni che reperisco da fonti pubbliche o semi-pubbliche. In particolare sono dati figli di ricerche OSINT svolte su social network, forum, deep, dark e clear web: lo faccio per monitorare cosa accade nel mondo del cybercrime, analizzare cosa viene estratto (in maniera illecita) dalle aziende e ragionare quindi su quali siano i migliori approcci per una protezione e difesa efficace. Questo mi impone di trattare queste informazioni con cura, soprattutto quando...
Scritto da: Luigi DuraccioDi Marco Govoni E' un tema attuale quello del Green Pass, ovvero il certificato digitale emesso dal Ministero della Salute che raccoglie informazioni sul nostro stato di vaccinazione e ci permette quindi di muoverci in determinate aree o paesi. Questo certificato è composto principalmente da un QR Code, ovvero una immagine digitale che contiene determinate informazioni e che può essere letta con apposite applicazioni. In sintesi è un modo per concentrare tanti dati in un piccolo spazio :-) Il QR Code del Green...
Scritto da: Luigi DuraccioArrivano i primi green pass e subito vengono postate le immagini del codice QR sui social. E’ una pessima idea, parola del Garante Privacy. A lanciare l’allarme attraverso un videoclip diffuso online è Guido Scorza, componente dell’Autorità Garante per la protezione dei dati personali, a lanciare l’allarme, e lo ha fatto con un videoclip diffuso sui social: guardate la clip in fondo all’articolo! Il codice contiene infatti moltissimi dati personali e sensibili, non visibili ad occhio nudo, ma leggibili con un semplice scanner QR: chi siamo, se ci...
Scritto da: Luigi DuraccioI messaggi che il Ministero sta inviando ai vaccinati via sms sono diventati veicolo di phishing. Vi mostro come riconoscere quelli veri da quelli truffa. Era fin troppo facile immaginarlo: l’Sms che il Ministero della Salute sta inviando ai vaccinati per ricevere il Green Pass è diventato un perfetto veicolo di truffe on line. Il primo allarme in questo senso ha iniziato a suonare nello scorso fine settimana. Anche la polizia postale ha lanciato l'allarme e possiamo immaginare che non sarà neanche l'ultimo. Tutti siete invitati a prestare la...
Scritto da: Luigi DuraccioLa troviamo in quasi tutte le email, un messaggio, posto in calce, che fa riferimento alla privacy. Ma è davvero obbligatorio? E come deve essere redatto? Articolo originale su Informatore Informatico Vi sarà sicuramente capitato di trovare, in calce alle email, un messaggio in cui si avverte il destinatario della natura personale e riservata delle informazioni inviate. Tale messaggio coincide con il più noto termine disclaimer, tratto dal dizionario anglosassone. La prima cosa da sapere è che nessuna norma menziona esplicitamente il disclaimer, tantomeno ne impone un...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.