Responsabilità [per il GDPR "accountability"] è il principio cardine attorno a cui si sviluppa tutto il GDPR.
Non basta adeguarsi, ma bisogna mantenersi "compliant" [conformi] al regolamento anche con il passare del tempo.
Ecco un utile vademecum con tutti i passaggi da compiere per non sbagliare, in particolare nella revisione e aggiornamento del Sistema di gestione privacy.
Per responsabilizzazione il GDPR intende non solo l'obbligo di conformarsi ai singoli adempimenti ma, soprattutto, di adottare un vero e proprio sistema di gestione privacy, un abito su misura cucito su ogni azienda, che renda i propri trattamenti conformi alla normativa.
Per far si che la conformità sia effettiva, deve però aggiungersi un ulteriore e fondamentale dovere: quello di essere in grado di “darne conto”, ovvero di dimostrare l’adeguatezza delle misure di sicurezza impiegate, soprattutto attraverso un riesame e aggiornamento delle stesse.
Tutte le misure tecniche e organizzative che vengono messe in atto, dovranno comprendere “una procedura per testare, verificare e valutare regolarmente” [arl. 32 gdpr] l’efficacia delle sesse misure per poterne garantire la sicurezza del trattamento.
La compliance alla normativa sulla data protection, infatti, non si esaurisce con la prima implementazione delle attività di adeguamento, ma presuppone un processo dinamico, che richiede di non fermarsi alla mappatura dello status quo dell’azienda oggi conforme al GDPR, ma che impone di mantenere tale conformità attuale nel tempo. L’efficacia di una tale revisione non va data per scontata, ma richiede, anzi, di tenere in considerazione molteplici fattori, che possono essere raggruppati in categorie.
L'aggiornamento del sistema di gestione privacy e della relativa documentazione (informative, procedure, atti di nomina, etc.) è necessario in primo luogo quando vi sono novità normative o giurisprudenziali: nuove norme, linee guida, sentenze, ecc.
Ad esempio è quello che succederà per il Regolamento e-Privacy che sostituirà la direttiva 2002/58/CE. Oppure come già avvenuto con le modifiche determinate dal D. Lgs. 101/2018 in relazione al Codice della Privacy. Oppure ancora quando intervengono sentenze, pronunce dei tribunali oppure di provvedimenti del Garante.
Ogni singola azienda dovrà, di conseguenza, verificare quale sarà l'impatto sulle sue attività di trattamento.
Quotidianamente nelle aziende possono essere prese delle decisioni che impattano sul trattamento di dati personali: dal cambio di modalità di gestione delle risorse umane all’adozione di nuove strategie di marketing, dall’inserimento di un form nel proprio sito web alla sostituzione di un fornitore, fino all’innovazione dei propri modelli di business.
Ad esempio la sostituzione o i nuovi inserimenti di personale. In questi casi esiste l'obbligo di garantire che tutti coloro che trattano dati in azienda sotto l’autorità del titolare siano adeguatamente formati per farlo ai sensi dell’art. 29 del GDPR.
Altri esempi possono riguardare la sostituzione dei PC o l'introduzione di nuovi software, la istallazione di un sistema di videosorveglianza, l'adozione di sistemi di controllo degli accessi [timbra cartellini, autenticazioni con impronta, ecc]
Sono rilevanti e determinano la necessità di revisione anche lo spostamento di archivi cartacei da un contenitore, da una stanza, o da un edificio a un altro, ad esempio per quanto riguarda l’affidabilità delle misure fisiche di protezione approntate.
Testare, verificare e valutare l’efficacia delle misure tecniche e organizzative è tanto più importante quando emergono segnali evidenti che il sistema di gestione dei dati adottato in azienda non è sufficientemente idoneo rispetto a quanto il Regolamento prescrive, e richiede degli opportuni aggiustamenti.
Un primo caso può essere quello in cui l’azienda subisca una violazione di dati o un incidente di sicurezza: sia che tale incidente ["data breach"] sia determinato da un errore umano, sia che dipenda da uno stumento informatico inadeguato, è necessario intervenire con degli interventi correttivi che, peraltro, il Garante richiede di indicare nella comunicazione di notifica della violazione da effettuare ai sensi dell’art. 33 del GDPR.
Così, ad esempio, può essere indicato acquistare un software privacy by design compliant per sostituire un programma informatico che non lo è e che ha causato l’incidente di sicurezza, ad esempio consentendo l’accesso da parte di tutte le risorse umane a dati che avrebbero dovuto essere trattati solo da alcuni dipendenti.
Dall’altro lato può essere appropriato ripetere la formazione del personale quando il data breach si è verificato perché uno o più dipendenti non hanno seguito le istruzioni operative precedentemente fornite dal titolare, ponendo in essere comportamenti che hanno causato violazioni di dati.
Ciò può riguardare l’ambito organizzativo, come nel caso in cui essi abbiano comunicato illegittimamente informazioni o abbiano omesso di chiudere a chiave un archivio o di far rispettare la distanza di cortesia.
Ma può riguardare anche l’uso degli strumenti informatici, che aprono l’azienda a delle vulnerabilità quando, ad esempio, il lavoratore installa erroneamente software malevoli nel sistema informatico aziendale.
Come fare? Quali sono le attività da svolgere per la revisione e l’aggiornamento del Sistema di gestione privacy?
Quello che trovate di seguito è un elenco delle attività che dovrebbero essere comprese in una corretta procedura che riguardi il tuo Sistema di gestione privacy.
L'articolo proviene da Informatore Informatico
Nella newsletter di maggio 2021 il Garante riporta anche altri due provvedimenti sanzionatori relative a vicende molto interessanti. Il Garante a comminato la sanzione ad un imprenditore che non aveva fornito ai suoi dipendenti la corretta informativa circa le caratteristiche del sistema informatico aziendale che aveva impiegato per trattare i dati personali. Inoltre il trattamento era andato anche oltre i limiti stabiliti dall’autorizzazione dell’Ispettorato del lavoro competente. Il Garante è intervenuto per un esposto presentato da un sindacato. In seguito all'accertamento ha verificato che, diversamente da quanto sosteneva...
Scritto da: Luigi DuraccioBose ha rivelato di aver subito una violazione dei dati a seguito di un attacco ransomware che ha colpito i sistemi dell'azienda all'inizio di marzo. Fonte: Bleeping Computer In una lettera di notifica di violazione, presentata all'ufficio del procuratore generale del New Hampshire, Bose ha affermato di "aver subito un sofisticato attacco informatico che ha provocato la distribuzione di ransomware nel" suo "ambiente IT": "Bose ha rilevato per la prima volta il malware/ransomware sui sistemi statunitensi di Bose il 7 marzo 2021". Il produttore di sistemi...
Scritto da: Luigi DuraccioParliamo di GDPR e social media e vediamo quando e come si applica il Regolamento Europeo. L’articolo trae il contenuto dall’intervento dell’Avvocato Francesca Bassa su RAISE Academy. Per prima cosa definiamo cosa sono i social media. Non sono infatti solo i social network, Facebook, Instagram, Twitter, ecc, ma tutti gli strumenti che vengono usati per trattare dati in una azienda per motivi di business: piattaforme per newsletter, strumenti di profilazione, e-commerce, ecc. Riguardo ai social network, per prima cosa, il GDPR si...
Scritto da: Luigi DuraccioNonostante i grandi progressi, la maggioranza delle aziende italiane non ha ancora compreso la grande occasione di miglioramento dell’organizzazione e della sicurezza ed i cittadini il grande valore in termini di libertà e democrazia. Nonostante le diffidenze e la sottovalutazione della sua importanza, il GDPR ha avuto un effetto molto positivo sulle imprese che hanno intrapreso un corretto percorso di adeguamento adottando procedure e soluzioni di sicurezza adeguate. Molta strada resta ancora da percorrere. Siamo di fronte alla necessità di un cambio di...
Scritto da: Luigi DuraccioUna decina di giorni fa il gruppo AXA ha annunciato una stretta contro il ransomware: i danni correlati derivanti da un attacco ransomware vengono esclusi dalle proprie coperture assicurative. L'iniziativa aveva un forte impatto e, se adottato a cascata da tutte le compagnie, imporrebbe alle aziende maggiori attenzioni e minori margini di monetizzazione per i cracker interessati all'affare. Sembra che tale esclusione dei rimborsi sia una richiesta proveniente dalle istituzioni. La gravità del problema della protezione da ransomware, dal punto di vista economico, nell'ordine...
Scritto da: Luigi DuraccioContinua a crescere il trend degli attacchi informatici. Lo conferma il primo Exprivia Threat Intelligence Report del 2021 elaborato dall'Osservatorio cybersecurity di Exprivia. 349 eventi in Italia da gennaio a marzo: cyber-attacchi, incidenti e violazioni della privacy. Ben sette volte di più rispetto ai primi tre mesi del 2020. Crimini informatici senza freni Il cybercrime continua a colpire, approfittando dell'incremento dello smartworking e dell'utilizzo dei servizi online. Gennaio è stato il mese con il maggior numero di eventi (124), a febbraio gli incidenti...
Scritto da: Luigi DuraccioOltre il danno, anche la beffa». Walter, vittima di una truffa informatica che gli ha svuotato il conto, non avrà indietro i suoi soldi. Fonte: TorinoToday Una sentenza del tribunale di Torino di pochi giorni fa ha negato il risarcimento a un torinese che, nel luglio 2020, aveva perso una bella somma dopo avere 'abboccato' a un tentativo di phishing Il diritto al rimborso è stato negato perché “le responsabilità sono tutte sue”. La vittima aveva ricevuto una mail da quello che sembrava il tribunale...
Scritto da: Luigi DuraccioNuovo intervento del Garante - Provvedimento del 13 maggio 2021 – Documento di indirizzo “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali”. L’assenza per vaccinazione è giustificata “L’assenza dal lavoro per la somministrazione del vaccino contro il COVID-19 e’ giustificata e non determina alcuna decurtazione sul trattamento economico, ne’ fondamentale ne’ accessorio” L’assenza per la vaccinazione può essere utilizzata solo per i giorni della somministrazione del vaccino; non può essere utilizzata per assenze dovute agli, eventuali, effetti collaterali...
Scritto da: Luigi DuraccioI ransomware possono causare danni sia ai PC personali che alle aziende. Windows 10, per proteggere i suoi utenti, mette a disposizione una semplice funzionalità integrata nel sistema operativo che però, come riporta Forbes, va attivata manualmente. Ecco come fare. Articolo originale su: Tom's hardware Autore: Sara Grigolin La procedura è semplice. Seguendo questi pochi passaggi potrete attivare la protezione e difendervi dai pericolosi ransomware che si stanno diffondendo a macchia d’olio, soprattutto da quando – per via dello smart working – le persone passano molto più tempo davanti al PC. Per prima...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.