Sicurezza dati e privacy

privacy GDPR

Il GDPR (Regolamento UE 679/2016) ha ribadito e ulteriormente fissato gli obblighi formativi in ambito privacy per tutte le figure coinvolte nel trattamento dati: dal DPO fino ai lavoratori tutti devono sapere il valore del dato personale e prestare attenzione alle modalità con cui viene trattato all’interno del contesto aziendale.

La formazione in ambito privacy è obbligatoria?

La risposta a questa domanda è molto semplice: SI. L’articolo 39.1.b del Regolamento 679/2016, prevede tra i compiti del Data Protection Officer (DPO), quello di

sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”.

Inoltre, l’obbligo formativo è richiamato anche dall’art. 32.4 che ammonisce che “chiunque abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento”.

Quindi il Titolare e/o il Responsabile del Trattamento dovranno accordarsi con il DPO per stabilire che, all’interno del piano formativo aziendale, siano trattati anche i temi relativi alla privacy, in special modo per i neoassunti ma anche nei casi di cambio di ruolo/funzione o nel caso siano introdotte nuove procedure o tecnologie. Per tenere sotto controllo tutte queste esigenze formative e quindi il gap tra il fabbisogno formativo del personale e la formazione effettivamente ricevuta, può essere utilizzato il modulo “Gestione della formazione” di Q-81 HSE WEB APP.

Le sanzioni amministrative pecuniarie previste in caso di violazione dell’articolo 39 del Reg. 679/2016 posso essere rilevanti, tuttavia, possono essere altrettanto rilevanti le conseguenze degli errori commessi da personale privo di una adeguata cultura della privacy. In questo senso spesso le aziende si sono focalizzate sugli adempimenti formali (Registro dei Trattamenti, consenso…) tralasciando un aspetto che Nord Pas, invece, include sempre all’interno della propria offerta consulenziale in quest’ambito.

GDPR DPO Garante privacy

Chi deve essere formato secondo il GDPR?

Anche in questo caso la risposta viene direttamente dall’articolo 39.1.b del Regolamento 679/2016, ove vengono indicati come destinatari delle formazione il “personale che partecipa ai trattamenti e alle connesse attività di controllo”. Nella sua attività il DPO deve individuare il personale che partecipa ai trattamenti e predisporre,  per ogni funzione aziendale, un’adeguata formazione utile all’esercizio delle proprie attività, nella tutela del dato personale proprio e di terzi e nel rispetto delle policy di sicurezza definite dall’organizzazione.

Gli obiettivi che l’organizzazione dovrebbe prefissarsi di raggiungere attraverso le attività formative in ambito privacy sono:

  • Informare tutti gli interessati sui principi generali del GDPR, sui concetti e sulla terminologia introdotta dal Regolamento
  • Formare il personale sulla politica aziendale in materia di privacy, sulle procedure e sulle prassi relative ai processi aziendali nei quali vengono trattati dati personali.

Come deve essere erogata la formazione in materia di privacy?

Il GDPR, pur prescrivendo l’obbligo di formazione, non ne specifica modalità e contenuti: la scelta spetta quindi al DPO e al Titolare del Trattamento che devono garantire la trasmissione e la comprensione  della propria policy e delle procedure operative, che compongono il sistema di gestione della privacy aziendale,al personale interessato.

Gli strumenti che possono essere utilizzati per realizzare l’attività informativa e formativa sono molteplici. Il momento informativo può essere realizzato vantaggiosamente con l’utilizzo dell’e-learning. Avere a disposizione un corso online consente all’organizzazione:

  • Fornire una formazione di base sulla norma ripetibile;
  • Dare facilità di accesso anche a lavoratori che non dispongono di postazioni fisse (es. attraverso un tablet);
  • Costi contenuti

Il seconda battuta la formazione può essere erogata direttamente dalle funzioni aziendali (es. capo area o capo ufficio) o dal DPO con brevi sessioni pratiche in aula, che si soffermino sulle attività consuete che il lavoratore deve effettuare nel rispetto del DGDP, oppure sfruttando lo strumento dei gruppi di lavoro, per unire alla formazione, la condivisione di problematiche e buone prassi.

 

Sanzioni amministrative privacy, sistemi di gestione

Quale formazione deve avere il DPO?

Il GDPR si occupa anche della formazione del DPO e, anche in questo caso, il legislatore non ha definito strettamente i contenuti di tale percorso specificando tuttavia che “non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze”. Tali conoscenze devono essere mantenute aggiornate, soprattutto in relazione al rapido modificarsi della normativa e delle prassi di gestione dei dati personali, soprattutto per quanto riguarda le misure tecniche ed organizzative atte a garantire la sicurezza dei dati.

Nord Pas offre il servizio di DPO esterno attraverso propri tecnici qualificati che hanno seguito percorsi professionali specifici e che partecipano periodicamente ad iniziative formative di alto livello per restare aggiornati sui temi della privacy e della sicurezza informatica.

privacy GDPR

A seguito della consultazione pubblica avviata lo scorso dicembre, si è conclusa in questo mese la procedura di revisione alla luce del nuovo Regolamento europeo delle nove autorizzazioni generali rilasciate dal Garante privacy nel 2016 quando era in vigore la precedente normativa.

GDPR DPO Garante
L’Autorità ha adottato un provvedimento, in corso di pubblicazione sulla G.U., che contiene gli obblighi che dovranno essere rispettati da un numero elevato di soggetti, pubblici e privati, in diversi settori per poter trattare particolari categorie di dati personali, come quelli legati alla salute, alle opinioni politiche, all’etnia, all’orientamento sessuale.
Le prescrizioni riguardano infatti:
  • il trattamento di queste categorie particolari di dati nei rapporti di lavoro;
  • il trattamento degli stessi dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose, cosi come da parte degli investigatori privati;
  • il trattamento dei dati genetici e il trattamento effettuato per scopi di ricerca scientifica.

I consulenti Nord Pas possiedono competenze e formazione specifica sul tema della privacy e sono a disposizione per tutti gli approfondimenti: contattaci.

privacy GDPR

La violazione di sicurezza – data breach

Il Regolamento UE 2016/679  in materia di protezione dei dati personali (GDPR) definisce data breachUna violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati” (art. 4, c. 12).

Una violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità di dati personali così come è accaduto nei due casi più eclatanti finora noti alle cronache: il caso Marriot e il caso British Airways.

Marriot data breachLa catena alberghiera americana Marriot è stata sotto attacco informatico sin dal 2014 ma la falla nel sistema di sicurezza è stata scoperta e resa nota, solo a settembre del 2018. L’evento ha colpito 500 milioni di clienti del gruppo Marriott.

Anche il caso British Airways ha interessato il mondo del turismo: sono state intercettate circa 380.000 transazioni finanziarie e contenenti numeri di carte di credito, nomi e indirizzi dei clienti, compreso il codice di sicurezza usato per potere eseguire ulteriori operazioni future.

Le tempistiche con cui la compagnia aerea ha informato dell’avvenuto data breach non sono chiare, poiché sembra che il l’attacco sia durato oltre due settimane (dal 21 agosto al 5 settembre 2018) prima che l’azienda se ne rendesse conto.

A termini di GDPR le aziende (Società telefoniche e Internet provider) hanno 72 ore, da quando se ne accorgono, per analizzare e comunicare al Garante un data breach, ovvero qualora i dati esposti possano ledere i diritti degli interessati, siano leggibili e non si sia di fronte ad attacchi multipli.

Le informazioni contenute nella comunicazione devono permettere di comprendere i rischi e proteggere i dati dell’interessato

Il Garante per la Privacy italiano nel provvedimento del n. 106 del 30 aprile 2019 adottato nei confronti di uno tra i principali fornitori nazionali di servizi di posta elettronica (Italiaonline S.p.a.) ha sottolineato che le comunicazioni agli utenti dei data breach non devono essere generiche e devono fornire precise indicazioni su come proteggersi da usi illeciti dei propri dati, primo fra tutti il furto di identità.

La società dovrà effettuare una nuova comunicazione sul data breach subito nei mesi scorsi, che aveva provocato l’accesso fraudolento alle caselle di posta elettronica di circa un milione e mezzo di propri utenti. La nuova comunicazione dovrà contenere una descrizione della natura della violazione e delle sue possibili conseguenze e dovrà fornire agli utenti precise indicazioni sugli accorgimenti da adottare per evitare ulteriori rischi.

La decisione è stata presa dall’Autorità nell’ambito del procedimento sopraddetto, avviato a seguito della notifica di data breach trasmessa al Garante dall’azienda. Nella notificazione dell’incidente di sicurezza, la società ha dichiarato che il 20 febbraio scorso le analisi tecniche avevano evidenziato un accesso fraudolento tramite un hotspot della rete Wifi, dal quale era derivata la violazione di circa un milione e mezzo di credenziali di utenti che avevano avuto accesso tramite webmail.

Dall’inizio dell’applicazione del GDPR 25 maggio 2018 al 31 marzo 2019 le notifiche di data breach al Garante italiano sono state 946 e sono in aumento anche i provvedimenti sanzionatori delle autorità garanti nazionali.
[/av_textblock]

Le sanzioni previste in caso di Data Breach

Nel caso in cui le Pubbliche Amministrazioni o le imprese non rispettino gli obblighi previsti dal regolamento in materia di Data Breach, il Regolamento GDPR  prevede sanzioni pecuniarie fino a 10.000.000 euro o per le imprese fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore.

In particolare, sono previste le seguenti sanzioni amministrative:

  • in caso di mancata o ritardata comunicazione al Garante: da 25mila a 150mila euro;
  • in caso di omessa o mancata comunicazione agli utenti: da 150 euro a 1000 euro per ogni società, ente o persona interessata;
  • in caso di mancata tenuta dell’inventario delle violazioni aggiornato: da 20mila a 120mila euro.

Privacy sanzioniNel caso già citato di British Airways ad esempio, la compagnia aerea rischia una sanzione fino a 500 milioni di sterline (560 milioni di euro) che è il 4% del fatturato aziendale 2017.

Considerata l’importanza e la dimensione di queste sanzioni è estremamente importante che le aziende comprendano la necessità di avere un supporto a tutto tondo come quello offerto da Nord Pas. I nostri tecnici possiedono competenze multidisciplinari e possono svolgere il ruolo di Data Protection Officer (DPO).

Inoltre, il nostro software Q-81 HSE WEB APP può essere utilizzato per costruire il Registro dei Trattamenti con il “Modulo Valutazione Rischi e Opportunità” oppure per registrare gli audit periodici del sistema di gestione della privacy con il modulo “Gestione Audit e Checklist“.

Il modulo “Documentale” può essere utilizzato per gestire le informative e i consensi e con lo strumento delle revisioni l’azienda è certa di avere sempre a disposizione degli utenti dell’informativa più recente ed aggiornata.

La registrazione della formazione erogata al personale coinvolto nel trattamento dei dati può essere facilmente tracciata con il modulo “Gestione della Formazione” il quale permetterà anche di evidenziare rapidamente le esigenze formative anche in tema per i nuovi assunti o cambi di ruolo.

Infine, in caso di data breach, l’azienda dovrà documentare e gestire, come nel caso sopraccitato ed indagato dal garante, le azioni che mette in atto per tutelare e proteggere i diritti degli interessati: il modulo “Segnalazioni, Non conformità e Azioni” è lo strumento ideale per questa funzione.

privacy GDPR

Sono state pubblicate le nuove FAQ del Garante Privacy sul registro dei trattamenti.
Le principali novità riguardano l’obbligo di tenuta del registro che è esteso praticamente a tutti i soggetti che trattano dati:
Sono quindi tenuti all’obbligo di redazione del registro, ad esempio:

  • esercizi commerciali, esercizi pubblici o artigiani con almeno un dipendente (bar, ristoranti, officine, negozi, piccola distribuzione, ecc.) e/o che trattino dati sanitari dei clienti (es. parrucchieri, estetisti, ottici, odontotecnici, tatuatori ecc.);
  • liberi professionisti con almeno un dipendente e/o che trattino dati sanitari e/o dati relativi a condanne penali o reati (es. commercialisti, notai, avvocati, osteopati, fisioterapisti, farmacisti, medici in generale);
  • associazioni, fondazioni e comitati ove trattino “categorie particolari di dati” e/o dati relativi a condanne penali o reati (i.e. organizzazioni di tendenza; associazioni a tutela di soggetti c.d. “vulnerabili” quali ad esempio malati, persone con disabilità, ex detenuti ecc.; associazioni che perseguono finalità di prevenzione e contrasto delle discriminazioni di genere, razziali, basate sull’orientamento sessuale, politico o religioso ecc.; associazioni sportive con riferimento ai dati sanitari trattati; partiti e movimenti politici; sindacati; associazioni e movimenti a carattere religioso);
  • il condominio ove tratti “categorie particolari di dati” (es. delibere per interventi volti al superamento e all’abbattimento delle barriere architettoniche ai sensi della L. n. 13/1989; richieste di risarcimento danni comprensive di spese mediche relativi a sinistri avvenuti all’interno dei locali condominiali).
privacy GDPR

Il Garante per la protezione dei dati personali ha messo a punto una serie di indicazioni operative per usufruire della definizione agevolata dei procedimenti sanzionatori pendenti.
L’agevolazione è stata prevista dal recente decreto legislativo 101/2018 che ha adeguato la normativa italiana alle disposizione del Regolamento europeo 2016/679 in materia di privacy.
Le FAQ sono disponibili da oggi sul sito dell’Autorità.

privacy GDPR

Entra in vigore oggi, 19 settembre 2018, il Decreto legislativo 10 agosto 2018, n. 101.
Il nuovo decreto adegua il Codice in materia di protezione dei dati personali (n.196/2003) alle disposizioni del Regolamento (UE) 2016/679.
Tra le novità più rilevanti spicca l’introduzione dell’obbligo di nomina del D.P.O. (Data Protection Officer, anche Responsabile della protezione dei dati) per le autorità giudiziarie.
Una gestione inadeguata dei dati personali nell’amministrazione della giustizia può infatti costituire un pericolo per i diritti e per le libertà degli interessati.
La presenza di un D.P.O. è quindi fondamentale per affrontare le sfide imposte dall’assiduo progresso tecnologico.
La sua nomina obbligatoria diventa necessaria per il raggiungimento di livelli di sicurezza adeguati all’interno di una realtà di trattamento che concerne informazioni idonee a ledere i primari diritti e interessi, costituzionalmente tutelati, di ogni cittadino.
Ricordiamo infine che il Garante ha reso disponibile sul proprio sito web istituzionale il testo coordinato del Codice.

privacy GDPR

La Prassi di Riferimento UNI/PdR 43:2018 “Linee guida per la gestione dei dati personali in ambito ICT secondo il Regolamento UE 679/2016 (GDPR)” è stata elaborata dal Tavolo “Processi di gestione privacy in ambito digitale”, sotto il coordinamento di UNINFO, Ente Federato all’UNI, che lavora nell’ambito delle tecnologie informatiche e delle loro applicazioni.
La prassi di riferimento si compone di due sezioni:

    • UNI/PdR 43.1 “Gestione e monitoraggio dei dati personali in ambito ICT”
    • UNI/PdR 43.2 “Requisiti per la protezione e valutazione di conformità dei dati personali in ambito ICT”

L’obiettivo del documento, che si rivolge ai trattamenti di dati personali mediante strumenti elettronici (ICT), definisce in modo obiettivo e ripetibile le azioni per il corretto trattamento dei dati personali, offrendo a titolari e responsabili una linea guida di riferimento e alle autorità di controllo un metro di giudizio, ponendo le basi per meccanismi di certificazione (art. 42 del Regolamento Europeo n.679/2016).

privacy GDPR

Il Decreto Legislativo n. 101 del 10 agosto 2018 è stato pubblicato nella Gazzetta Ufficiale n. 205 del 4 settembre 2018.
Esso contiene le disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Il nuovo decreto abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) ed entrerà in vigore dal 19 settembre 2018.

privacy GDPR

Da oggi si applica in Italia il Regolamento Ue in materia di protezione dei dati personali.
La nuova disciplina uniforma le regole in tutti i Paesi dell’Unione e rappresenta la più grande riforma in questo settore da un quarto di secolo a questa parte.
Il Regolamento adegua il quadro normativo al nuovo contesto sociale ed economico – caratterizzato da un incessante sviluppo tecnologico e da forme sempre più massicce e
pervasive di scambio e sfruttamento di dati – rafforzando le tutele poste a salvaguardia dei dati personali e i diritti degli individui.

Vi informiamo che abbiamo aggiornato la nostra Informativa sulla privacy in linea con le ultime modifiche apportate al regolamento generale sulla protezione dei dati (GDPR).
Ci impegniamo a tutelare i vostri dati personali e a essere trasparenti in merito alle informazioni che stiamo raccogliendo e all’utilizzo che ne facciamo.
Vogliamo che voi vi possiate fidare del metodo di raccolta e archiviazione dei vostri dati e desideriamo offrirvi un maggiore controllo sui metodi di modifica, richiesta ed eliminazione delle informazioni.
La nostra Informativa sulla privacy aggiornata riporta queste modifiche e può essere consultata qui.

privacy GDPR

Il corso “Privacy: protezione dati personali – Regolamento UE 679/2016” illustra le novità introdotte dal Regolamento Europeo 679/2016 e fornisce una formazione generale in materia di protezione dati personali.
Il modulo e-learning della durata di 3 ore è un utile strumento di consapevolezza e formazione per il personale impegnato in Enti e Aziende di tutti i settori di attività.
E’ quindi potenzialmente la base di partenza per Incaricati al trattamento, Responsabili e Amministratori di Sistema.
Gli obiettivi del corso sono:

Acquisire le necessarie competenze in materia di protezione dati personali
Chiarire i principi della normativa
Approfondire la logica e gli aspetti fondamentali nelle operazioni di trattamento e le relative assegnazioni di responsabilità
Per informazioni e approfondimenti potrete inviare un’e-mail a formazione@nordpas.com