Responsabilità [per il GDPR "accountability"] è il principio cardine attorno a cui si sviluppa tutto il GDPR.
Non basta adeguarsi, ma bisogna mantenersi "compliant" [conformi] al regolamento anche con il passare del tempo.
Ecco un utile vademecum con tutti i passaggi da compiere per non sbagliare, in particolare nella revisione e aggiornamento del Sistema di gestione privacy.
Per responsabilizzazione il GDPR intende non solo l'obbligo di conformarsi ai singoli adempimenti ma, soprattutto, di adottare un vero e proprio sistema di gestione privacy, un abito su misura cucito su ogni azienda, che renda i propri trattamenti conformi alla normativa.
Per far si che la conformità sia effettiva, deve però aggiungersi un ulteriore e fondamentale dovere: quello di essere in grado di “darne conto”, ovvero di dimostrare l’adeguatezza delle misure di sicurezza impiegate, soprattutto attraverso un riesame e aggiornamento delle stesse.
Tutte le misure tecniche e organizzative che vengono messe in atto, dovranno comprendere “una procedura per testare, verificare e valutare regolarmente” [arl. 32 gdpr] l’efficacia delle sesse misure per poterne garantire la sicurezza del trattamento.
La compliance alla normativa sulla data protection, infatti, non si esaurisce con la prima implementazione delle attività di adeguamento, ma presuppone un processo dinamico, che richiede di non fermarsi alla mappatura dello status quo dell’azienda oggi conforme al GDPR, ma che impone di mantenere tale conformità attuale nel tempo. L’efficacia di una tale revisione non va data per scontata, ma richiede, anzi, di tenere in considerazione molteplici fattori, che possono essere raggruppati in categorie.
L'aggiornamento del sistema di gestione privacy e della relativa documentazione (informative, procedure, atti di nomina, etc.) è necessario in primo luogo quando vi sono novità normative o giurisprudenziali: nuove norme, linee guida, sentenze, ecc.
Ad esempio è quello che succederà per il Regolamento e-Privacy che sostituirà la direttiva 2002/58/CE. Oppure come già avvenuto con le modifiche determinate dal D. Lgs. 101/2018 in relazione al Codice della Privacy. Oppure ancora quando intervengono sentenze, pronunce dei tribunali oppure di provvedimenti del Garante.
Ogni singola azienda dovrà, di conseguenza, verificare quale sarà l'impatto sulle sue attività di trattamento.
Quotidianamente nelle aziende possono essere prese delle decisioni che impattano sul trattamento di dati personali: dal cambio di modalità di gestione delle risorse umane all’adozione di nuove strategie di marketing, dall’inserimento di un form nel proprio sito web alla sostituzione di un fornitore, fino all’innovazione dei propri modelli di business.
Ad esempio la sostituzione o i nuovi inserimenti di personale. In questi casi esiste l'obbligo di garantire che tutti coloro che trattano dati in azienda sotto l’autorità del titolare siano adeguatamente formati per farlo ai sensi dell’art. 29 del GDPR.
Altri esempi possono riguardare la sostituzione dei PC o l'introduzione di nuovi software, la istallazione di un sistema di videosorveglianza, l'adozione di sistemi di controllo degli accessi [timbra cartellini, autenticazioni con impronta, ecc]
Sono rilevanti e determinano la necessità di revisione anche lo spostamento di archivi cartacei da un contenitore, da una stanza, o da un edificio a un altro, ad esempio per quanto riguarda l’affidabilità delle misure fisiche di protezione approntate.
Testare, verificare e valutare l’efficacia delle misure tecniche e organizzative è tanto più importante quando emergono segnali evidenti che il sistema di gestione dei dati adottato in azienda non è sufficientemente idoneo rispetto a quanto il Regolamento prescrive, e richiede degli opportuni aggiustamenti.
Un primo caso può essere quello in cui l’azienda subisca una violazione di dati o un incidente di sicurezza: sia che tale incidente ["data breach"] sia determinato da un errore umano, sia che dipenda da uno stumento informatico inadeguato, è necessario intervenire con degli interventi correttivi che, peraltro, il Garante richiede di indicare nella comunicazione di notifica della violazione da effettuare ai sensi dell’art. 33 del GDPR.
Così, ad esempio, può essere indicato acquistare un software privacy by design compliant per sostituire un programma informatico che non lo è e che ha causato l’incidente di sicurezza, ad esempio consentendo l’accesso da parte di tutte le risorse umane a dati che avrebbero dovuto essere trattati solo da alcuni dipendenti.
Dall’altro lato può essere appropriato ripetere la formazione del personale quando il data breach si è verificato perché uno o più dipendenti non hanno seguito le istruzioni operative precedentemente fornite dal titolare, ponendo in essere comportamenti che hanno causato violazioni di dati.
Ciò può riguardare l’ambito organizzativo, come nel caso in cui essi abbiano comunicato illegittimamente informazioni o abbiano omesso di chiudere a chiave un archivio o di far rispettare la distanza di cortesia.
Ma può riguardare anche l’uso degli strumenti informatici, che aprono l’azienda a delle vulnerabilità quando, ad esempio, il lavoratore installa erroneamente software malevoli nel sistema informatico aziendale.
Come fare? Quali sono le attività da svolgere per la revisione e l’aggiornamento del Sistema di gestione privacy?
Quello che trovate di seguito è un elenco delle attività che dovrebbero essere comprese in una corretta procedura che riguardi il tuo Sistema di gestione privacy.
L'articolo proviene da Informatore Informatico
Protocollo di regolamentazione per il contrasto e il contenimento della diffusione del virus COVID 19 negli ambienti di lavoro è stato realizzato per agevolare gli enti e le imprese nell’adozione di protocolli di sicurezza anti-contagio, ma contiene importanti disposizioni anche in materia di privacy. Non tutti se ne sono accorti o hanno dato la giusto valore alle indicazioni del documento che, oltre alle disposizioni per mettersi in regola con le misure anti Covid-19, contiene importanti indicazioni e disposizioni in materia di...
Scritto da: Luigi DuraccioIncredibile! Solo un terzo degli utenti ha cambiato la propria password a seguito di una violazione dei dati. Quasi tutti con password più deboli o ricilando gli stessi caratteri delle password violate! Fonte: Informatore Informatico. E' il risultato di un recente studio pubblicato da accademici del Security and Privacy Institute (CyLab) della Carnegie Mellon University. Lo studio, presentato all'inizio di questo mese al seminario IEEE 2020 sulla tecnologia e la protezione dei consumatori, non si basava sui dati di indagine o sondaggio, ma sull'effettivo traffico...
Scritto da: Luigi Duraccio“Immuni” fa il suo esordio sugli store di Apple e Google, e subito una campagna malevola prova a sfruttare questo evento, ma la password si trova nei log di rete. Lo comunica Agid-Cert, la struttura del governo che si occupa di cybersicurezza. Grazie alla condivisione del sample da parte del ricercatore @JAMESWT_MHT, il CERT-AgID ha avuto evidenza della campagna di hacking che è stata diffusa per diffondere il ransomware denominato “FuckUnicorn”. Sffruttando la notizia del rilascio del codice dell’App Immuni, i criminali hanno creato un dominio ad arte per ospitare il...
Scritto da: Luigi DuraccioCampagna di GitLab che ha testato i propri collaboratori in remoto (remote-working) con una campagna di auto-phishing. L’obiettivo di ottenere le credenziali di accesso dei dipendenti è stato centrato in pieno. Una premessa è doverosa e tanto per essere chiari: il business del phishing è nell’ordine di miliardi di dollari amercani ogni anno. L'attuale situazione di pandemia ha incoraggiato, a volte costretto, le aziende ad estendere il proprio ecosistema ben oltre le mura dell'azienda con il c.d. "remote working". La prima conseguenza diretta è che il lavoratore diventa...
Scritto da: Luigi DuraccioDal 25 maggio 2018 sono passati due anni e, come previsto al momento della entrata in vigore del nuovo regolamento, è giunto il momento del primo tagliando. Giunti a questo punto era prevista una revisione della normativa ed era attesa la presentazione di proposte di semplificazioni per PMI ed enti no profit. Per gli sviluppi attendiamo ma, in questa sede, vorremmo fare un breve bilancio. Tra chiaro scuri, e con opportuni distinguo, il trend sembrerebbe positivo; da diversi sondaggi sembra si possano...
Scritto da: Luigi DuraccioMolti gli aspetti critici. Attenzione a fare le cose per bene o potrebbe arrivare una batosta! Oggi era in programma un post con contenuto e tenore diversi, ma, gli ultimi sviluppi della fase 2, mi hanno fatto cambiare programma. Questo articolo può essere considerato come una comunicazione di servizio, un alert per mettere tutti in guardia sulle procedure e sulle modalità con cui ci apprestiamo ad affrontare la fase 2, la cosidetta "ripartenza". La normativa e le circolari, commenti, chiarimenti, interventi, ecc. hanno già...
Scritto da: Luigi DuraccioLa "conservazione a norma" delle PEC è un aspetto quasi sconosciuto ma di rilevanza fondamentale. Se non conservate a norma, non hanno alcun valore! Molto probabilmente, per conservare le tue PEC stai utilizzando uno dei seguenti tre modi: 1. Nel computer o nel server. 2. Sono salvate nei server del gestore di posta, il tuo fornitore del servizio (es. Aruba). 3. Sono stampate su carta e conservate in archivio insieme a tutti gli altri documenti rilevanti. Se rientri in una di queste categorie ti devo...
Scritto da: Luigi DuraccioRelativamente alla protezione dei dati, introdurre azioni di prevenzione significa introdurre un nuovo trattamento. Questo porta numerosi problemi, operativi e concreti, sollevati dalla rilevazione della temperatura all'ingresso in azienda su dipendenti e clienti. Sono numerose le richieste di chiarimenti che pervengono al Garante in merito al trattamento di dati in periodo di coronavirus; e sono molte le informazioni, in rete e non, a chiarimento degli aspetti problematici sollevati dalla questione della rilevazione della temperatura. Ma è difficile capire bene come comportarsi, soprattutto per il...
Scritto da: Luigi DuraccioI criminali del web non si fanno scrupoli ad approfittare del rischio di epidemia in corso per architettare nuove ed insidiose frodi informatiche. Mentre siamo tutti confinati in casa nel tentativo di limitare la diffusione del corona virus, gli spammer e i phisher (il phishing è un tipo di frode informatica), sono in piena attività. Approfittano della richiesta di informazioni sulla pandemia, dell’allarme sociale, della scarsa dimestichezza degli utenti con gli strumenti informatici, per moltiplicare i loro attacchi. Nelle ultime settimane più di...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.