Sicurezza e Privacy

Guida al GDPR

Abbiamo costruito un percorso per aumentare la consapevolezza e raggiungere la conformità alla normativa EU 2016/679 da parte delle piccole e medie imprese. Un utile strumento per proteggere i propri dati e quelli dei clienti, verificando al contempo il livello di sicurezza informatica aziendale.
Compilando il form di richiesta informazioni e dando il consenso autorizzi al trattamento dei dati secondo il GDPR 2016/679 come da nostra informativa estesa.

Il nostro percorso

Pensato per la micro, piccola e la media impresa che vuole valutare il proprio status e raggiungere la conformità al GDPR EU 2016/679. Con delle semplici domande percorriamo ciò che l’impresa deve aver valutato per attuare i necessari accorgimenti ed essere compliance rispetto al GDPR. Il ragionamento può essere esteso dai dati personali alle informazioni che la società gestisce, così facendo si aumenta la consapevolezza non solo a livello di “privacy” ma di una reale sicurezza dei dati e delle informazioni, vero punto di arrivo in un mercato dove dati e informazioni sono il reale petrolio del nostro tempo.

Questionari di autovalutazione

5 questionari per la valutazione della conformità e il livello di rischio

Organigramma e designazione

Costruzione dell’organigramma aziendale del trattamento dei dati

Adeguamento modulistica

Adeguamento della modulistica aziendale e web (sito, newsletter…)

Informativa

L’informativa ai clienti, fornitori e dipendenti, e la raccolta del consenso

Accountability

In caso di controllo, l’azienda deve poter dimostrare le azioni che ha intrapreso

Analisi criticità

Analisi delle situazioni di criticità organizzative e tecniche

La nostra visita in azienda

Su richiesta eseguiamo il check-up in azienda per la valutazione “de visu” dell’organizzazione aziendale in materia di privacy e sicurezza informatica.

La visita può essere concordata anche come momento formativo (2 moduli di 2 ore ciascuno) per tutto il team coinvolto nel trattamento dei dati.

Per concordare la nostra visita è necessario prima aver compilato i 5 questionari di valutazione.

25 maggio 2018

Non è la fine del mondo, ma l’inizio di un percorso

Lo scopo del Regolamento EU 2016/679 è quello di responsabilizzare l’imprenditore e accompagnarlo con delle “raccomandazioni specifiche”, a costruire un sistema di gestione dei dati sicuro. A propria tutela, dei dipendenti e dei clienti/fornitori.

L’alto profilo delle violazioni della sicurezza hanno aumentato la preoccupazione del pubblico in merito alla gestione delle informazioni personali. L’80% degli incidenti con impatto sulla sicurezza coinvolge il personale, ecco perchè c’è una chiara necessità per tutti i lavoratori di avere un comprensione di base del GDPR.

Scarica il RegolamentoScarica la Guida del Garante

Il sistema sanzionatorio

Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso. L’ammontare sarà determinato secondo i principi di: effettività, proporzionalità e dissuasività.
L’art. 83 riguardo agli importi massimi dice: l’inosservanza di un ordine da parte dell’autorità di controllo di cui all’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore

%

del fatturato nei casi più gravi

%

degli incidenti sulla sicurezza coinvolge il personale

Le 7 cose da sapere

1. Aumentare la consapevolezza

A prescindere dalle dimensioni della vostra azienda, informatevi e informate il vostro personale dell’arrivo del Gdpr e della maggior accortezza necessaria nel processare i dati dei clienti, così come nell’impostare adeguate procedure di sicurezza sui computer.
Ad esempio: niente più post-it sullo schermo con la password, non lasciare il computer accessibile quando si va in pausa pranzo, non consentire l’accesso ai dati a tutti i dipendenti dell’azienda se non ve ne è motivo.

2. Verificare le informazioni e i dati che si posseggono

Capire che tipo di dati si trattano nella propria attività, da dove vengono e con chi si condividono, inclusi i servizi e i software che li gestiscono. Che programma usate per le mail, il cloud o la newsletter? Sono affidabili? Ho una regolare licenza d’acquisto o li hai scaricati?
La mancata licenza infatti non darebbe la tutela contrattuale prevista in caso di malfunzionamenti e perdita o diffusione di dati non autorizzata. Valutare inoltre se si ha bisogno di tutti i dati in possesso o, quando si è fatto il form, si sono chieste più informazioni di quelle necessarie.

3. Rivedere le informative sulla privacy

Le informative sulla privacy e sui cookie vanno riviste alla luce del Gdpr. Il linguaggio deve essere chiaro e va spiegato per quali scopi saranno usati i dati, vanno fornite tutte le informazioni relative al titolare del trattamento dei dati, inclusi i contatti per chiedere modifiche o cancellazioni.
Bisogna poi spiegare su quale base vengono forniti quei dati (consenso, un contratto, un legittimo interesse, etc.) e per quanto tempo saranno conservati o secondo quali criteri. Si deve dire se i dati saranno trasferiti verso Paesi terzi, fuori dall’Unione Europea, cosa molto probabile se si usano servizi come social network o mailchimp.
Importante anche informare l’utente della possibilità di ricorrere al Garante e all’autorità giudiziaria. Infine queste informazioni non devono essere nascoste nei meandri del sito internet ma ben visibili e facilmente accessibili.

4. Occhio al consenso

Il consenso è diventato ancora più importante di quanto non lo fosse prima.
Ad esempio, il consenso del cookie banner del vostro sito, se era stato ottenuto in modo implicito o comunque ambiguo (“se continui nella navigazione accetti le condizioni”) va riottenuto fornendo una reale possibilità di scelta, con un’azione chiara e affermativa. Così come, nonostante fosse vietato anche prima, si ricorda che non si possono fornire formulari, web o cartacei, pre-compilati o con un consenso valido per tutto (come trattamento dei dati e marketing).
Il consenso al trattamento dei dati va inoltre separato dai Termini e Condizioni del servizio.

5. Garantire i diritti delle persone

Assicurarsi di poter rispondere a richieste di cancellazione, rettifica e modifica ad esempio, tenendo a mente che non ogni richiesta va evasa. Se un cliente vi deve pagare, non può chiedere la cancellazione dei dati inerenti le comunicazioni e le fatture emesse. Importante anche essere in grado di individuare i dati di un soggetto, sapere dove sono per poter agire e rispondere in tempi brevi (massimo 30 giorni), con linguaggio comprensibile.

6. Saper gestire violazioni e fughe di dati

Avere i mezzi (antivirus aggiornati ad esempio) per essere in grado di verificare se c’è stata un fuga di dati ed essere in grado di capire che tipo di dati sono stati presi. Se la fuga può mettere a rischio i diritti e le libertà degli individui (danno reputazionale, perdite finanziarie..) allora deve essere notificato entro 72 ore al Garante e all’interessato. Al di là delle notifiche, ogni violazione e fuga di dati va documentata, “comprese le circostanze, le sue conseguenze e i provvedimenti adottati per porvi rimedio” (art. 33).

7. Valutare se si ha bisogno del Dpo

Nominare un Dpo, ossia un data protection officer, un responsabile per la protezione dei dati, non è necessario se l’impresa non monitora regolarmente i dati su larga scala e non tratta dati sensibili, ovvero dati come quelli sanitari, quelli relativi alle opinioni politiche, al credo religioso, all’orientamento sessuale.
Secondo le indicazioni del Garante non si deve nominare un Dpo nei casi di “trattamenti effettuati da liberi professionisti operanti in forma individuale; agenti, rappresentanti e mediatori operanti non su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti“.

Segui il nostro eMagazine

Notizie e informazioni utili sulla Sicurezza Informatica e la Privacy. Rimani aggiornato per proteggerti sul web.

Vuoi conoscerci meglio?

Operiamo da oltre 20 anni aiutando le imprese a crescere in sicurezza