Francesco Iori

Privacy vs protezione dei dati

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Siete pronti? Il garante della privacy non è il garante della privacy, ma è il garante per la protezione dei dati personali. Non è uno scioglilingua: le cose stanno proprio così, perché privacy e protezione dei dati, anche se spesso usati come sinonimi, in realtà sono concetti diversi, e forse è arrivato il momento di fare chiarezza.

 

Facciamo un minimo di cronistoria. Il concetto di privacy è vecchio come l’uomo e fa parte della sua storia nell’arte, nella società e nei rapporti tra le persone. L’idea che quello che faccio tra le mura di casa mia rimane un fatto mio personale risale probabilmente allo strutturarsi della vita sociale.

 

Ma la privacy ha anche un altro aspetto, di natura più giuridica, che nasce negli Stati Uniti nel 1890, con l’articolo pubblicato sulla Harvard Law Review “Right to privacy”, scritto da due avvocati di Boston: Samuel D. Warren e Louis D. Brandeis. Il principale concetto che ne emerge è quello di privacy come difesa del proprio cortile privato dalle invasioni dei giornalisti e della stampa scandalista che in quegli anni muoveva i primi passi.

È quindi una privacy strettamente correlata all’aspetto della protezione domestica, della persona e della sua intimità.

 

L’idea di protezione dei dati, invece, ha un’origine più europea, e nasce nel ‘900 durante le esperienza del totalitarismo, come protezione dei miei dati dal controllo dello stato che può poi usufruirne per attività discriminatorie o di profilazione legate poi agli episodi drammatici che hanno segnato il secolo scorso (sterminio minoranze, guerra fredda, schedature dei dipendenti, etc.).

 

Cambia quindi l’approccio: al centro non c’è più soltanto la vita intima delle persone (come nella privacy nord americana), ma è una protezione del dato del soggetto in società. Se quando parlo di privacy intendo quindi il mio personale concetto di ciò che ritengo inviolabile della mia vita privata e quello che invece decido di divulgare liberamente; la protezione dei dati, invece, è la normativa che la Comunità europea ha partorito attraverso numerosi passaggi per proteggere il cittadino nel momento in cui la società ha raggiunto un alto livello di controllo.

 

Protezione dei dati: il cittadino al centro del regolamento

 

L’avvento della società digitale ha alzato ulteriori minacce alla privacy che la normativa per la protezione dei dati cerca di contenere. Sempre di più privacy e GDPR sono accomunate, spesso si intersecano, ma ancora: non sono la stessa cosa. La privacy tra cittadini è già tutelata dal diritto civile, mentre la protezione dei dati interviene quando la persona, o meglio la sua rappresentazione elettronica/digitale, entra in contatto con le grandi aziende.

 

La confusione rimane, soprattutto quando sono io cittadino disposto a cedere i miei dati in cambio di servizi che necessitano di quei dati per funzionare correttamente. Se ci rivolgiamo ai social network il discorso si complica ancora di più, perché in questo caso l’esibizione e la divulgazione del dato sensibile e delle informazioni personali della propria vita privata diventa la regola.

 

Rimaniamo però nell’ambito del GDPR. L’elemento cardine di questo regolamento è che è stato costruito attorno ai diritti della persona. È difficile trovare nel regolamento delle disposizioni che siano favorevoli o agevoli all’impresa.

 

Questo significa che i dati raccolti dalle aziende (siano esse pubbliche o private), devono essere protetti, tutelati, e tenuto riservati, attraverso i principi di liceità e trasparenza. L’azienda, inoltre, è tenuta ad utilizzarli solo per la necessità che ne ha richiesto la raccolta, e non per altre.

 

Il GDPR interviene proprio in questo punto del rapporto, controllando il trattamento dei dati da parte degli enti che li raccolgono, cioè che non ne facciano un uso improprio e pretendendo anche la protezione nei confronti di tentativi di data breach. Inoltre i gestori dei dati devono rimanere a disposizione dell’utente qualora volesse richiederne la modifica o la cancellazione.

 

Che il dato sia raccolto attraverso il mio consenso, come ad esempio la necessità di rivelare certi particolari sensibili ad un’azienda sanitaria per un intervento, o che siano stati presi involontariamente, come può capitare a Google Street view nella realizzazione delle mappe fotografiche della città, la persona proprietaria di quel dato ha sempre diritto di intervenire. Il GDPR obbliga l’azienda a rispondere alla richiesta, ed eventualmente la sanziona se questo non avviene.

 

È quindi un regolamento fondamentale in un periodo in cui la circolazione dei dati è continua (app, social network, aziende gestione utilities, etc.) e in cui i dati acquistano sempre più valore sociale ed economico.

Proprio per questo è importante continuare a fare una corretta distinzione tra privacy e data Protection.  Perché il GDPR è il risultato di una specifica tradizione europea di protezione del cittadino non tanto – o non solo – della sua sfera privata (per le querelle tra cittadini ci pensa il diritto privato), ma in quadro sociale di tutela dei dati sensibili contro l’occhio indiscreto del grande fratello.

dpo esterno
Scopri di più sull'autore di questo articolo!

Privacy vs protezione dei dati Leggi tutto »

servizi dpo

Adeguamento al GDPR: come funziona

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Sales Executive.
Privacy Consultant- PrivacyLab Certified,
DPO UNICERT/DAKKS and UNI 11697:2017,
Certified Innovation Manager,
Lead Auditor ISO/IEC 27001:2017

Laureato e Dottorato in Chimica con attività di ricerca e pubblicazioni nell'ambito della Chimica Computazionale, dove sviluppa il suo interesse per l'informatica e i grandi numeri ( quelli che oggi chiamano tutti Big Data).
Un volta uscito dal mondo accademico si è formato prima sulle vendite, poi sul marketing ed infine sulla gestione delle relazioni e delle reti tra imprese ed imprenditori.
Dal 2018 Socio di Alchimie digitali, e socio fondatore di Agile DPO Fa parte della "prima classe" dei consulenti certificati e tra i primi in Italia ad avere la doppia certificazione come DPO sia DPO UNICERT/DAKKS che UNI 11697:2017.
Di recente ha completato la certificazione di Lead Auditor ISO 27001 ed è nell'elenco dei Manager dell'Innovazione del Ministero dello Sviluppo Economico.

Il GDPR è come la Bibbia: tutti fingono di conoscerlo, ma nessuno l’ha mai letto tutto. 

Si impara giusto qualche citazione da spendere nei salotti buoni, come la necessità dell’adeguamento al GDPR, o che stiamo parlando di “privacy”, ma poco altro.
Poi, però, all’avvicinarsi dei temibili controlli, arriva il terrore: basteranno la privacy policy e il banner che appare sul sito? Cos’altro devo fare? Cosa vuol dire tutelare la privacy dell’utente e come posso concretamente  farlo? La tanto sbandierata multa dal 2 al 4% del fatturato incute qualche timore.

Facciamo un passo alla volta. 

Cominciamo sciogliendo la sigla: GDPR sta per General Data Protection Regulation, il regolamento europeo sulla protezione dei dati, pubblicato nel maggio 2016 ed entrato in vigore dal 25 maggio 2018.
Delle 4 lettere che compongono l’acronimo, se riuscite a ricordarne solo una, scegliete la “P”: protezione. Questo è infatti il nocciolo della questione. Le imprese che offrono servizi o prodotti a persone che si trovano nel territorio dell’Unione Europea devono garantire una serie di diritti all’utente che entra in contatto e condivide i propri dati con loro, tra cui: il diritto all’oblio, la portabilità dei dati e l’obbligo di notifica in caso di violazione dei dati.

Le norme si applicano dunque a tutte le imprese che hanno come mercato di riferimento la Ue. Detto in altre parole: spostare la vostra azienda in Cina non vi salverà se offrite i vostri servizi a uno dei paesi membri.

Un altro mito da sfatare subito è la possibilità di eludere l’argomento: non si può.
Nella società dell’informazione la mera esistenza dei dati personali “là fuori” è un dato di fatto imprescindibile quanto la legge di gravità o il pi greco.

Dal sapere al saper fare: adeguamento al GDPR

Avere un’idea più precisa della regolamentazione, però, non significa sapere come portare avanti il processo di adeguamento al GDPR.
Nonostante i due anni dalla pubblicazione in gazzetta ufficiale e  ulteriori 6 mesi lasciati come periodo di tolleranza dall’entrata in vigore del nuovo regolamento europeo, alcune delle grandi e piccole aziende non hanno ancora adeguato la propria piattaforma alle nuove direttive.


Il passo successivo, per tutti, sarà essere informati sulla necessità di mappare i processi, ma per fare questo servono team multidisciplinari: la regolamentazione va studiata in modo approfondito, perché un uso non etico dei dati personali, anche se ottenuto su consensi più o meno legittimi – attraverso form e mail più o meno trasparenti – sarà sempre considerato illegale.

Non è sufficiente cercare di sistemare tutto “alla buona” per ottenere un consenso attraverso due step, se a questo non segue il giusto trattamento dei dati, un’informativa chiara e la possibilità, per l’utente, di intervenire sui propri dati in ogni momento. Il consenso non può essere preso “alla leggera”. L’utente deve essere consapevole di aver ceduto i dati e deve essere a conoscenza delle misure prese dall’azienda per tutelarli.

Il cuore del GDPR risiede nel concetto che i dati personali, per il ruolo fondamentale che giocano nell’economia e per il loro valore intrinseco, devono essere tutelati attraverso l’aderenza alle regole del GDPR stesso. Proprio per questo viene identificata una nuova figura: il DPO, data protection officer nella dicitura originale, o RPD, responsabile per la protezione dei dati nella versione italiana, incaricato di fare da punto di contatto tra tutte le parti in causa.

Migliora la tua gestione dei dati: mettiti al sicuro con la collaborazione di AgileDPO.
Contattaci tramite e-mail, telefono oppure tramite Facebook, Linkedin o compilando il nostro Form di contatto QUI!
Puoi chiedere una semplice consulenza, puoi farci tutte le domande del caso e se vuoi, puoi affidati al team di AgileDPO.

Scopri di più sull'autore di questo articolo!
Contatti

Adeguamento al GDPR: come funziona Leggi tutto »

Accountability nel GDPR: significato e applicazione.

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Nella selva di termini anglosassoni e acronimi che ruotano attorno alla privacy, oggi affrontiamo l’accountability. Qui le cose si complicano, perché il termine non ha una traduzione semplice e lineare, e identifica un concetto molto ampio.

Lo ignoriamo e passiamo oltre? Assolutamente no, perché all’interno del GDPR, l’accountability svolge un ruolo di primo piano.

 

Partiamo dallo stato della questione. Nell’articolo 24 del GDPR così viene definito il termine:

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

Siamo alla prova del fuoco. Arriva il momento in cui bisogna dimostrare che le misure adottate per la protezione dei dati “funzionano”. In questa fase si situa l’accountability, che spesso viene tradotto, in modo incompleto, con responsabilizzazione o responsabilità. Incompleto perché la “responsabilità” è compresa all’interno del concetto di accountability, ma non lo esaurisce.

Responsabilità, perché, appunto, di fronte ad un problema di gestione dei dati si devono avviare tutte le procedure necessarie atte a risolverlo. Il trattamento, insomma, deve agire bene, e si deve dimostrare di aver fatto tutto il necessario e di averlo fatto bene, progettando, alla base, tutta l’impalcatura nel modo corretto.

 

Ma, come detto, l’accountability non è solo questo.

 

Accountability: dalla definizione all’applicazione

 

Come si faceva ai tempi della scuola, partiamo dal dizionario. L’Oxford Dictionary, definisce accountability: “Il fatto o la condizione di essere accountable”. Perfetto. Quindi cerchiamo accountable, e troviamo due definizioni:

  1. Required or expected to justify actions or decisions. Responsible.
  2. Able to be explained or understood.

Tradotte:

  1. Quando è necessario o previsto giustificare le proprie azioni o decisioni. Responsabile.
  2. Capace di essere spiegato o capito.

Quindi, la responsabilità c’è, ma non è sola. Si trova insieme ad un altro concetto che in italiano potremmo tradurre con: dare conto di…, giustificare…, saper dimostrare cosa si è fatto e per quale motivo.

 

Ecco che il concetto di accountability, declinato sul GDPR, comincia a delinearsi meglio, ovvero non solo la responsabilità nell’attuare le misure messe in campo, ma anche nella dimostrazione che queste sono efficaci, funzionali e ben progettate. E soprattutto che questa funzionalità è verificabile.

 

Ora facciamo un passo indietro. Ricordate quando abbiamo parlato di Privacy by design, ovvero del concetto di iniettare la tutela dei dati direttamente nelle fondamenta dell’azienda, in modo da non renderla un elemento posticcio e accessorio ma integrato nel sistema? Ecco, qui stanno le basi dell’accountability, in un atteggiamento proattivo, ovvero che cerca di prevenire il problema, che ha definito gli obiettivi in anticipo, con attenzione, attraverso un sistema coerente ed efficace.

Il contrario di Accountability

 

Quando questo meccanismo si inceppa o non è calibrato bene alla base, l’accountability rischia di trasformarsi nel più italico “scaricabarili”. L’iter è quello ben conosciuto: si presenta un problema, il processo attivato non è quello giusto, o non ha funzionato come ci si aspettava, allora la responsabilità viene rimbalzata tra il responsabile del trattamento dei dati, il tecnico informatico, i commerciali, il Ceo e via così fino a che qualcuno rimane senza buoni argomenti.

 

Tutela dei dati: dall’adeguamento alla responsabilità

 

L’accountability, insieme alla Privacy by design, ci rammentano che per aver un giusto approccio al trattamento dei dati non è sufficiente adeguare le misure, inserire un banner, un modulo da cliccare o compilare e basta. Giusto per dire: “ho adempiuto agli obblighi di legge e ora riprendo la mia attività”.

 

Poter dimostrare l’efficacia delle misure, essere proattivi, vuol dire conoscere bene le misure da attuare e saper rendicontare l’atteggiamento tenuto. Ovvio che questo non mette al riparo da errori o sviste, ma, di fronte ad un accertamento, è comunque una condizione di favore nell’aver dimostrato di aver arginato i rischi, tale da poter persino trasformare la sanzione in un semplice ammonimento.

Se “l’accountability funziona” vuol dire che il processo è

  • trasparente
  • funzionale
  • comprensibile.

Rileggendo ora l’articolo 24 del GDPR – quello che introduce il principio dell’accountability – il suo significato ci appare più chiaro.

“Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario”.

 

Chi ha la responsabilità del trattamento deve quindi dimostrare con quali modalità ha tutelato i dati e quali sono state le decisioni che lo hanno portato a determinare la scelta. Se la privacy by design è stata ben architettata, ha già tutto sottomano.

 

Se desideri verificare lo stato di accountability della tua organizzazione, puoi contattarci attraverso il form di contatto.

Accountability
Scopri di più sull'autore di questo articolo!

Accountability nel GDPR: significato e applicazione. Leggi tutto »

servizio dpo

Privacy by Design

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Sales Executive.
Privacy Consultant- PrivacyLab Certified,
DPO UNICERT/DAKKS and UNI 11697:2017,
Certified Innovation Manager,
Lead Auditor ISO/IEC 27001:2017

Laureato e Dottorato in Chimica con attività di ricerca e pubblicazioni nell'ambito della Chimica Computazionale, dove sviluppa il suo interesse per l'informatica e i grandi numeri ( quelli che oggi chiamano tutti Big Data).
Un volta uscito dal mondo accademico si è formato prima sulle vendite, poi sul marketing ed infine sulla gestione delle relazioni e delle reti tra imprese ed imprenditori.
Dal 2018 Socio di Alchimie digitali, e socio fondatore di Agile DPO Fa parte della "prima classe" dei consulenti certificati e tra i primi in Italia ad avere la doppia certificazione come DPO sia DPO UNICERT/DAKKS che UNI 11697:2017.
Di recente ha completato la certificazione di Lead Auditor ISO 27001 ed è nell'elenco dei Manager dell'Innovazione del Ministero dello Sviluppo Economico.

Privacy by design è un concetto che significa che tutto ciò che riguarda la privacy va valutato nella fase di progettazione del lavoro, e non aggiunto successivamente.

 

È un po’ come per i criteri antisismici nella costruzione degli edifici: valutarli e attuarli mentre la casa viene costruita è molto più semplice che adeguare tutto successivamente.

Ma quindi se ho un’azienda già avviata cosa devo fare? Chiudere tutto e poi ricominciare con una nuova inglobando subito i principi della Privacy by design? 

No, certo che no. 

Ma la PbD deve essere assorbita fin nelle fondamenta della ditta.

Mettiamo le cose in chiaro: la privacy è diventata come le tasse e la morte: non si scappa. Va affrontata, e prima e più sistematicamente si fa, meglio è. Per questo la privacy va incorporata nel progetto: è questo il senso della privacy by design. Il concetto “fratello” è quello della privacy by default. Ovvero che la privacy dev’essere l’impostazione di default.
Ad esempio non deve essere obbligatorio compilare un form in cui il conferimento dati è facoltativo. Si parte sempre dalla protezione della privacy. La privacy è al centro. Come sottolineato dal regolamento sul GDPR.

Partendo da questo assunto, possiamo provare a capire concretamente come attuare la privacy by design.

 

Dal sapere al saper fare la Privacy by design:

i passaggi chiave per attuarla

 

Preparatevi, sarà una lotta, come nel fight club, e proprio come nel fight club, in questo caso abbiamo poche regole, ma molto semplici:

  1. Coinvolgere tutta l’azienda

Scordatevi le scene dei film sui nerd anni ‘90 in cui il nostro esperto di privacy e informatica sta nel suo stanzino a digitare milioni di caratteri al secondo occupandosi di risolvere problemi mentre i CEO e gli alti livelli si sfiniscono tra festicciole a base di champagne e orge. Il professionista dell’azienda deve evangelizzare tutto lo staff, dal vertice alla base della piramide.

In altre parole non è sufficiente che chi dirige l’azienda affidi il lavoro a chi sta sotto di lui passando da vassalli, valvassini e valvassori, fino a chi si sporca le mani. Altrimenti la PbD è poco più di un’altra delle tante parole anglosassoni con cui ci riempiamo la bocca durante un tentativo di rimorchio nelle festicciole di cui sopra. 

Come coinvolgere: gruppi di discussioni, aggiornamenti, reminder sull’importanza del concetto di privacy, creare un quadro concettuale chiaro a cui tutti possano riferirsi, per esempio “l’Organigramma Privacy”.

Se dovessimo riassumerlo con un semplice programmino basic (oggi ho i nerd in testa), sarebbe:
10 comunicare
20 insegnare
30 goto 10
da questo loop non si esce.

2. Conoscere bene l’azienda

Dall’altra parte chi si occupa di privacy deve conoscere bene il prodotto dell’azienda, le dinamiche e i rapporti tra i vari settori. Deve sforzarsi il più possibile di comprendere a fondo le feature e le potenzialità di ogni prodotto in modo da applicare al meglio le questioni di privacy e renderle un tutt’uno con gli altri processi dell’azienda. 
Diciamo che il Privacy by design deve far parte del processo costruttivo di ciò che l’azienda offre.

3. Adattare le istruzioni

Immaginatemi con la faccia di Clint Eastwood mentre, nei panni del sergente Gunny, vi ripeto questo mantra: “improvvisare, adattarsi e raggiungere lo scopo”.

Nel GDPR non si improvvisa. 

Le regole sono chiare, ma vanno assolutamente adattate alla vostra realtà professionale. I cardini rimangono invariati: tutti devono conoscere l’importanza della privacy e il processo di valutazione dell’impatto della privacy deve coinvolgere tutta l’azienda. Allo stesso modo chi si occupa della privacy deve capire come intervenire al meglio per raggiungere lo scopo. Sapere di quale budget dispone, chi interviene nelle varie fasi (dalla progettazione tecnica fino al rapporto coi clienti), in modo che la privacy sia presente in ogni settore.

Ma chi controlla i controllori? 

Quando il monitoraggio e il trattamento dei dati sono il core business dell’azienda, o avvengono su larga scala, può rendersi necessario incaricare un DPO, il Data Protection Officer, interno o esterno. 

Vuoi sapere in che modo AgileDPO può essere la tua soluzione?
Scopri chi sono i nostri esperti e tutti i servizi che eroghiamo per assicurare la corretta gestione e protezione dei dati! 

Clicca QUI per scoprire i nostri servizi oppure contattaci tramite Facebook, Linkedin, e-mail o semplicemente.. con una chiamata! 
Se preferisci, puoi anche compilare il nostro Form di contatto QUI!

Scopri di più sull'autore di questo articolo!
Contatti

Privacy by Design Leggi tutto »

Phishing: cos’è e come non abboccare

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Anche chi non ne è stato vittima, o non ha abboccato, sa cosa sia il phishing: è quell’attività fraudolenta che consiste nell’invio di mail fasulle per attirare l’attenzione degli utenti che, se abboccano, forniscono i loro dati per usi illeciti.

Il termine nasce nel 1996 dalla fantasia di un gruppo di hacker all’attacco degli account di America Online, con una evidente analogia col mondo della pesca sportiva: l’hacker è il pescatore, la mail fasulla è l’esca con l’amo dentro, e gli utenti sono i pesci che abboccano.

Come il pesce che cade nel tranello e si immola, con il phishing siamo noi che consegniamo nelle mani del ladro le chiavi di casa nostra sotto forma di username e password dei nostri account. Sicuramente il ladro è stato bravo a camuffarsi e a fingere di essere una persona di nostra fiducia, un amico, un inviato di una azienda credibile, ma la domanda è: potevamo controllare meglio?

Passando dalla pesca ad un’altra analogia, è come nella favola di cappuccetto rosso: la mail di phishing è il lupo travestito da nonna. Con più attenzione avremmo potuto notare gli occhi e le orecchie grandi, e che alla fine, con tutto quel pelo il lupo non assomigliava proprio a nostra nonna.

Social Engineering: l’ingegneria sociale della truffa

Se finora non siete mai cascati nel tranello: bravi. Ma attenzione. Negli anni le mail di phishing hanno migliorato la loro capacità mimetica. Ricorderete tutti le prime mail della vedova di un ricchissimo uomo del Congo che non sapeva a chi affidare i milioni di euro di eredità del marito e per un fortuito caso del destino aveva scelto proprio voi. Difficile crederci, anche perché spesso la traduzione dall’inglese (lingua di origine di queste truffe) all’italiano era fatta con software automatici che davano un risultato finale davvero poco convincente.

Oggi però le cose sono cambiate: mail e messaggi arrivano spesso a nome di aziende locali come poste italiane o corrieri, o vostri amici di Facebook e Instagram, persino colleghi o clienti. Se non possedete account o avete ordinato servizi con questi partner è facile capire che il target non siete voi, ma è molto probabile che prima o poi vi arriverà una mail fatta molto bene che sembra parlare a voi, e allora dovrete decidere se cliccare sul link oppure no.

Attacchi sofisticati di questo tipo, spesso effettuati dopo un lavoro preparatorio di raccolta di informazioni da parte dell’attaccante, fanno parte di una più ampia famiglia di attacchi. Si tratta di social engineering, in italiano ingegneria sociale ed è l’uso di tecniche di comunicazione e persuasione al fine di convincere una persona a fornire dati e informazioni riguardanti lui o la sua organizzazione, e può coinvolgere l’uso di email, sms, telefonate, chiavette USB trovate nel parcheggio aziendale…

Tornando all’argomento delle email, la miglior regola è controllare con attenzione il mittente, l’oggetto, il link. Se qualcosa non torna, ad esempio invece che www.poste.it, il link è www.poste-sicurezza.it, allora diffidate e fate attenzione.

Phishing scam: si pesca coi grandi numeri

Questo genere di truffe su internet funziona secondo la legge dei grandi numeri. Se io invio un milione di mail, anche se abbocca solo lo 0,01% dei riceventi, parliamo comunque di 100 persone. Se di queste dieci, il 90% si accorge dopo aver cliccato di aver fatto un errore e blocca la procedura, ne rimangono ancora altre 10 che rischiano di dare le loro credenziali ai ladri.

I numeri, nella realtà, sono ancora più impietosi. Secondo un’indagine di Terranova Security il 20% dei dipendenti di un’azienda è probabile che clicchi su un link di una e-mail di phishing. Di questi, il 67% prosegue e fornisce i dati richiesti dando così libero accesso a chi cerca di compromettere la sicurezza dell’azienda.

Se state leggendo questo articolo al lavoro alzate la testa e guardatevi intorno. Se avete quattro colleghi vicino attorno, uno di voi potrebbe essere la persona che clicca il link.

Ok, perdono, questo approccio è un po’ terroristico, ma i numeri sono questi.

Tecnologia e formazione assieme per non abboccare

Quando si parla di cybersicurezza e in particolare di phishing è assolutamente necessario che le corrette tecnologie, la giusta policy, è una corretta strategia proattiva vadano a braccetto con la corretta formazione del personale.

Il perché dovrebbe essere chiaro: sicurezza e firewall fanno la loro parte, ma se è l’utente a fornire il modo agli hackers di entrare nei server dell’azienda, tutto il lavoro fatto per proteggere i dati aziendali (brevetti, tecnologie), personali, va in fumo.

È un po’ come la storia del cavallo di troia: rischiamo di essere noi, convinti di essere tranquilli e al sicuro, a portare dentro le mura della nostra città il nemico.

La miglior strategia è quindi la formazione dei dipendenti, fatta attraverso corsi, simulazioni di attacchi, test, a cui ovviamente si accompagnano le necessarie procedure di sicurezza. 

In maniera poco sorprendente, sono convinto che sia parte di un buon servizio l’avere un DPO (esterno od interno) che sia in grado di supportare l’azienda sotto la sua tutela, nel mettere in campo le strategie di prevenzione più adatte ed efficaci.

Scopri di più sull'autore di questo articolo!

Phishing: cos’è e come non abboccare Leggi tutto »

La gestione dei controlli del Green Pass a norma di GDPR

La gestione dei controlli del Green Pass a norma di GDPR

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Aggiornamento del 19/11/2021

 

È stato convertito in Legge il DL 127/2021 relativo alla gestione del Green Pass nei luoghi di lavoro. Si è in attesa della pubblicazione in Gazzetta Ufficiale del testo definitivo del provvedimento.

Poiché il testo di conversione ha diverse novità di rilievo che impattano sulla materia della Certificazione verde nei luoghi di lavoro, provvederemo ad aggiornare questa pagina solo dopo la pubblicazione in Gazzetta del provvedimento.

 

Aggiornamento del 08/11/21:

L’articolo che segue è stato pubblicato il 6 agosto, data dalla quale ormai sono trascorsi molti giorni e si sono susseguiti aggiornamenti di legge che hanno esteso l’applicazione del Green Pass anche ai luoghi di lavoro pubblici e privati e hanno in parte confermato quelle che erano le indicazioni che vi avevamo fornito.

 

Se volete leggere gli ultimi aggiornamenti sul tema Green Pass cliccate qui sotto.

 

Se invece dovete ancora leggere l’articolo completo, buona lettura!

Venerdì 6 Agosto è entrato ufficialmente in vigore l’obbligo della certificazione Green Pass. Il certificato vaccinale da ora in avanti, farà da spartiacque tra chi potrà accedere a molte attività ed eventi al chiuso e non solo, e chi invece rimarrà fuori.

Non è riuscito, però, a fermare le polemiche, cominciate già prima del suo arrivo. In particolare, ristoratori e imprenditori della cultura, del divertimento e dello spettacolo puntano il dito sulla necessità di dover dedicare almeno un loro dipendente all’attività di controllo, con tutte le conseguenze del caso, come l’aumento dei costi del personale e la formazione per chi dovrà svolgere questo compito, in una stagione già difficile. In molte località turistiche, albergatori e ristoratori sono sul piede di guerra.

C’è un aspetto, poi, legato al controllo, che ha dei risvolti problematici, come hanno fatto emergere alcuni esponenti di Confcommercio secondo cui, data la necessità di dover chiedere, oltre al certificato vaccinale, anche i documenti di identità, si rischia di ledere la privacy degli avventori, con il rischio di denuncia al garante della Privacy. Visto che in definitiva i dipendenti di un’attività alberghiera, culturale o gastronomica non sono né poliziotti, né controllori.

È un timore fondato quello della Confcommercio, che nel frattempo chiede al governo di rivedere le modalità di controllo del Green Pass, oppure no?

La situazione non è semplice, visto che le attività suscettibili di controllo sono numerose: dai cinema e teatri ai parchi tematici, dalle fiere alle sale giochi, palestre, oltre a ristoranti, bar e mostre, per citare le principali.

Green pass e GDPR: chi controlla i controllori?

Partiamo dalle ragioni degli imprenditori: sì, uno dei dipendenti deve diventare un controllore. In particolare, il titolare deve elaborare una nomina per ciascuno dei dipendenti che verranno impiegati nel nuovo servizio, come “addetto delegato alla verifica delle certificazioni verdi Covid-19“, che contenga precise istruzioni sullo strumento da utilizzare per i controlli.

Per chi svolge un’attività conto terzi, questa nomina, però, richiede un ulteriore passaggio. L’attività deve assicurarsi di aver ricevuto una lettera di incarico da parte del Comune o Ente che sta delegando il lavoro all’impresa. L’art. 13 del DPCM 17 giugno 2021 prevede infatti la possibilità di delegare tale attività di controllo, purché avvenga mediante incarico “con atto formale recante le necessarie istruzioni sull’esercizio dell’attività di verifica”.

È fondamentale quindi verificare in prima battuta di aver ricevuto le lettere di incarico da parte di questi enti, per poi delegare, istruire e sensibilizzare in maniera specifica il o i dipendenti in modo da garantire massima riservatezza e corretta gestione dei dati.

Green Pass e GDPR: controllare senza archiviare

 

Il primo timore degli imprenditori è purtroppo confermato. Secondo quanto riferito nel DL 52/2021 l’onere del controllo del Green Pass ricade sulle spalle dei gestori dei servizi e delle attività. Si può cercare, però, di farlo al meglio e senza ledere la privacy delle persone.

Innanzi tutto deve essere chiaro a gestori e imprenditori che l’attività di verifica delle certificazioni non deve comportare, in alcun caso, la raccolta dei dati dell’intestatario. L’addetto al controllo non potrà infatti fotocopiare i pass o i documenti di identità né salvarli in formato digitale.

La soluzione più veloce è il controllo del Green Pass attraverso l’app Verifica C19, che permette di appurare velocemente autenticità e validità della certificazione e di conoscere le generalità della persona senza rendere visibili le informazioni e tutelando così la privacy.

Ma la vasta platea interessata e la scarsa abitudine al digitale del nostro paese presenteranno più di una situazione in cui il certificato vaccinale cartaceo sarà il pass esibito per accedere. In ogni caso, qualora dovesse essere richiesto all’utente di esibire un documento di identità, è importante ribadire che nulla, di queste informazioni, dovrà essere archiviato, né in formato cartaceo né in formato digitale.

Un ulteriore metodo per evitare diatribe e polemiche sono i lettori Green Pass automatici che leggono la codifica da smartphone o su carta stampata, garantendo l’accesso senza la presenza di operatori. Se da un lato non è necessario mettere un dipendente a svolgere questa mansione e si assicura il rispetto delle norme del GDPR, d’altra parte, però, è necessario acquistare e configurare il macchinario.

Green Pass e GDPR: ci siamo già passati…

Una gatta da pelare per gli esercenti? Fino a un certo punto. Alcuni mesi fa le stesse polemiche si erano presentate per la necessità di misurare la temperatura all’ingresso di luoghi ed eventi, compito certamente in più rispetto alle normali attività dei dipendenti, ma alla fine non così complesso da mandare in tilt il lavoro.

Anche in questo caso, non essendoci la necessità di archiviare e registrare i dati, una volta prese le misure il compito si rivela piuttosto agevole. E’ un fastidio in più, ma non così differente da altre incombenze di controllo, come ad esempio la richiesta di esibire i documenti per vendere alcolici ai più giovani. Nella speranza, ovviamente, che tutte queste necessità scompaiano presto insieme alla pandemia.

Aggiornamento in materia di gestione Green Pass 08/11/21

 

L’entrata in vigore del D.L. n.127/2021 ha introdotto l’obbligo di impiego delle certificazioni verdi Covid-19 in ambito lavorativo privato, oltre che pubblico, e ha imposto che anche in questo caso fosse il datore di lavoro, o un suo delegato, a verificare la validità delle certificazioni verdi dei dipendenti e dei collaboratori esterni.

 

Si è palesato nuovamente il problema di come effettuare i controlli, cercando il giusto equilibrio tra procedure che permettessero di controllare i dipendenti, organizzare per tempo il lavoro quotidiano e continuare a rispettare i principi espressi dal GDPR e le policy già approvate dal vostro DPO.

Come avevamo anticipato con il nostro articolo, il DPCM del 12/10/21 ha confermato la possibilità di automatizzare i controlli integrando nei sistemi di controllo degli accessi, inclusi quelli di rilevazione delle presenze, le funzionalità di verifica della Certificazione verde Covid-19.

Resta comunque invariato l’obbligo di non archiviare in questi dispositivi il Green Pass o di utilizzare per finalità ulteriori le informazioni rilevate dalla lettura dei QR-code e le informazioni fornite all’esito ai controlli.

È possibile considerare legittima la raccolta dei dati personali dei dipendenti soltanto nei casi in cui questa sia finalizzata alla trasmissione agli uffici individuati dal datore di lavoro per dare seguito alle procedure di sospensione del dipendente sprovvisto di certificato valido.

Con l’articolo 3 del D.L n. 139/2021 abbiamo poi una chiara approvazione della possibilità per il datore di lavoro di richiedere in anticipo ai lavoratori di essere o meno in possesso della certificazione verde Covid-19, con un preavviso tale da soddisfare le esigenze organizzative e garantire un’efficace programmazione del lavoro.

Tale concessione, tuttavia, non fa venire meno l’obbligo di effettuare i controlli al momento dell’accesso; per quanto riguarda la frequenza con cui effettuare tali controlli la norma ci fornisce un riferimento chiaro:

“I controlli devono avvenire in misura percentuale non inferiore al 20% di quello presente in servizio, assicurando che tale controllo, se a campione, sia effettuato, nel tempo, in maniera omogenea con un criterio di rotazione, su tutto il personale dipendente e, prioritariamente nella fascia antimeridiana della giornata lavorativa”.

Per capire quale sia il metodo migliore da adottare per essere certi di verificare nel tempo la totalità del personale aziendale vi consigliamo di confrontarvi con il vostro responsabile per la sicurezza e di coinvolgere il vostro DPO per essere certi di non adottare pratiche che siano in contrasto con le linee guida del Governo o con la disciplina della protezione dei dati.

La gestione dei controlli del Green Pass a norma di GDPR
Scopri di più sull'autore di questo articolo!

La gestione dei controlli del Green Pass a norma di GDPR Leggi tutto »

decreto trasparenza

Il Decreto Trasparenza

L'autore

Picture of BARBARA SABELLICO

BARBARA SABELLICO

AVVOCATO GIUSLAVORISTA E DPO

Profilo LinkedIn

Partecipa al Webinar sul Decreto Trasparenza 

Giovedì 22 Settembre 2022 dalle 11 alle 12

Dal 13 agosto è entrato in vigore il d.l. n. 104/2022 (c.d. Decreto Trasparenza) di recepimento della direttiva UE 2019/1152 relativa a condizioni di lavoro trasparenti e prevedibili nell’Unione europea.

Tale Decreto porta numerose novità che impattano direttamente sulla gestione, sia formale che sostanziale, dei contratti di lavoro. Molte di queste novità hanno anche conseguenza diretta sulla gestione degli adempimenti normativi imposti dal Regolamento Europeo sulla Protezione dei Dati (GDPR) e ci obbligheranno a verifiche e revisioni documentali.

Per poter fare chiarezza, AgileClass, in collaborazione con PRIVACYLAB e l’Avv. Barbara Sabellico, esperta giuslavorista e DPO certificato, fornirà agli interessati un approfondimento sugli elementi più importanti della normativa con particolare attenzione ai casi studio e agli aspetti pratici del decreto.

COMPILA IL FORM E RICEVERAI IL LINK PER COLLEGARTI AL WEBINAR

 

 

Il Decreto Trasparenza Leggi tutto »

Tre anni di GDPR, come è cambiata la nostra vita?

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Il 25 maggio del 2018 è entrato in vigore il Regolamento generale sulla protezione dei dati personali (GDPR), e da quel momento, nulla è stato come prima. Ok, forse così è troppo roboante, ma è indubbio che in questi tre anni e mezzo l’impatto del GDPR sul nostro lavoro e sulla nostra sensibilità a temi quali privacy, diritti e libertà, sia stato profondo.

A molti utenti sarà sembrato solo un piccolo fastidio in più, quello di dover acconsentire e “skippare” velocemente le informative sulla privacy che per legge troviamo su ogni nuovo sito che visitiamo, ma in realtà dietro questa semplice operazione si sviluppa e si rinforza la certezza che i nostri dati sono ora considerati e trattati con maggior rispetto, pena controlli e multe salate.

L’Unione Europea, in particolare, ha profuso energia e risorse in questo sforzo mettendo con le spalle al muro anche giganti dell’hi-tech e del mercato che, nell’immaginario collettivo ma non solo, per lungo tempo hanno giocato con i nostri dati con una certa sufficienza.

I numeri della Privacy

 
Il Garante per la protezione dei dati personali pubblica con cadenza regolare i report della propria attività, dai quali si evince l’aumento di segnalazioni e contatti.

In particolare le comunicazioni dei Responsabili della protezione dei Dati (RPD all’italiana o DPO per tenere l’acronimo anglosassone) al garante, sono passate dalle 43.269 del dicembre del 2018, alle 60.864 di giugno 2021, un incremento di circa il 40%. Così come sono aumentate le notifiche di Data Breach passate da 305 a 592.

Anche i reclami da parte degli utenti sono aumentati, pur con un andamento altalenante, passando dai 2.547 del primo trimestre dall’applicazione del GDPR fino ai 3.070 del periodo aprile – giugno 2021.

Come il GDPR ci ha reso più consapevoli dei nostri diritti

 
Se si confrontano i numeri delle segnalazioni di Data Breach (circa 3,5 al giorno), rispetto ai dati degli effettivi attacchi informatici, il numero rimane ancora basso, ma l’aumento è comunque indicativo delle politiche di sicurezza adottate.

In generale, questi aumenti non segnalano tanto un incremento di effettivi data breach o abusi della normativa, ma di presa di coscienza, da parte sia dei professionisti che degli utenti della possibilità di segnalare una situazione anomala e richiedere la difesa di un proprio diritto acquisito.

Un altro dato molto interessante da questo punto di vista è stata la comunicazione dei nominativi dei Responsabili DPO: 59.838, soprattutto di aziende pubbliche, ma non solo, ad indicare quanto sia diventata fondamentale la presenza di questa figura all’interno delle aziende che trattano dati sensibili.

La pandemia come boost

Proprio su questo punto si gioca forse la questione più importante per le aziende, ovvero il rapporto costi benefici.

È indubbio che la sensibilità degli utenti sia molto cambiata in questo triennio. Se da un lato l’introduzione delle norme del GDPR ha conferito alle persone gli strumenti per organizzare la propria consapevolezza sull’importanza dei propri dati personali, dall’altro, la spinta allo smart working e agli acquisti online dovuta alla pandemia da Covid-19 ha costretto milioni di persone a confrontarsi con l’ambiente informatico e di conseguenza con l’utilizzo e la cessione dei dati.

Secondo uno studio di Cisco System, il Data Privacy Benchmark Study 2021, il Covid-2019 ha forzato molte aziende ad effettuare cambiamenti profondi, a causa della necessità urgente di doversi confrontare con dati personali di salute pubblica, spesso in aiuto alle organizzazioni pubbliche. Sempre secondo i dati raccolti da Cisco, per riprendere il discorso dello Smart Working, il lavoro da remoto è passato dal 40 al 67% e il 91% delle aziende si è ritrovata con al meno un quarto dei propri dipendenti in questa modalità di lavoro.

Di fronte a questa situazione nuova gli utenti hanno percepito come estremamente positivi i regolamenti sulla tutela dei dati personali, orientando la loro fiducia sulle aziende certificate che negli anni avevano recepito e adottato la normativa GDPR

GDPR: un investimento, non un costo

La conseguenza è scontata: gli investimenti effettuati per l’adeguamento al GDPR sono stati un costo ampiamente ripagato dal ritorno economico. Sempre spulciando i dati dello studio di Cisco, emerge che le aziende che avevano da subito investito sulla privacy hanno avuto i maggiori benefici economici, ma non solo, anche una maggiore efficienza (per essere già capaci di rispondere alle nuove esigenze), e soprattutto una maggiore fiducia da parte degli utenti, verso cui diventano più attrattive.

Inoltre, al di là del rapporto con gli utenti, le aziende già “pratiche” di GDPR hanno affrontato le difficoltà di quest’ultimo biennio con meno stesso per la struttura e i dipendenti, proprio perché già preparate – nel supporto e nelle infrastrutture, nello sviluppo, e nell’analisi dei rischi – alle modalità imposte dalla pandemia.

Se dovessimo riprendere la domanda iniziale, Come è cambiata la nostra vita in questi tre anni dall’applicazione del GDPR, la risposta ora sarebbe, bene, soprattutto per chi ha recepito e adottato la normativa.

Scopri di più sull'autore di questo articolo!

Tre anni di GDPR, come è cambiata la nostra vita? Leggi tutto »

servizio dpo

I Ruoli della Privacy

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'autore

In un trattamento dati, tu da che parte stai?

 

Ti sei mai chiesto che posizione ricopri in un trattamento dati?

Che tu faccia parte di un’azienda o sia una persona fisica, puoi ricoprire posizioni differenti all’interno del trattamenti dei dati personali.

  • Nel caso tu fossi semplicemente una persona fisica che fornisce i propri dati ad una azienda, ricopriresti la parte dell’Interessato

Costui è il proprietario dei dati, il titolare dei diritti che è protetto dal regolamente europeo. 

Se sei “dall’altra parte” ossia sei in un’azienda e raccogli i dati sensibili di altre persone, potresti interfacciarti con diverse figure:

  • Il titolare del trattamento: può essere qualsiasi ente, quindi una persona fisica, giuridica, la pubblica amministrazione, un servizio o qualsiasi altro organismo ed è colui che decide cosa fare con i dati raccolti, come farlo, che mezzi utilizzare e in che modo proteggerli: in sintesi, è la persona che decide le sorti dei dati! E’ però anche la garanzia dell’interessato, colui che lo protegge. 

 

  • Il responsabile del trattamento: come il titolare, può essere una persona fisica, una persona giuridica, una pubblica amministrazione, un’associazione o un qualsiasi altro ente o organismo. Tratta i dati personali per conto del titolare del trattamento, quindi opera per conto suo. E’ una figura che può essere interna o esterna all’organizzazione del titolare e può essere nominato all’occorrenza. 

Una novità è la possibilità del responsabile del trattamento a nominare un sub-responsabile. 

 

  • Il DPO: il responsabile per la protezione dei dati è un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e controllo, consultive, formative e informative relativamente al regolamento. E’ il collegamento con l’Autorità Garante ed è anche il contatto con il pubblico per questioni connesse al trattamento dei dati personali. 

Abbiamo approfondito questa importante figura in un articolo specifico che trovi QUI!

 

  • L’Amministratore di sistema: è’ una figura professionale, in ambito informatico, finalizzata alla gestione e alla manutenzione di un impianto di elaborazione dati o di sue componenti. Nonostante non trovi riferimento nel nuovo regolamento europeo, rimane una figura giuridicamente esistente,nella normativa privacy italiana. E’ possibile, e in certe situazioni persino fortemente consigliato, nominare amministratori di sistema.

 

  • L’Incaricato (o addetto designato) al trattamento: è la persona fisica che deve essere esplicitamente autorizzata, dal titolare o dal responsabile, a compiere  operazioni sui dati. Diversamente dalle altre figure fin qui citate, può agire solo sulla base di compiti e istruzioni precise, senza alcuna autonomia.

 

Se dovessi avere dubbi su una di queste figure, o in generale se volessi porgerci qualsiasi domanda, puoi contattarci con una mail, sui nostri canali social o chiamandoci:

il nostro team di esperti DPO certificati saprà darti le risposte che cerchi!

Scopri di più sull'autore di questo articolo!

I Ruoli della Privacy Leggi tutto »

dpo esterno

Vodafone sanzionata dal Garante privacy: quali errori ha compiuto?

L'autore

Picture of FRANCESCO IORI

FRANCESCO IORI

Socio fondatore di AgileDPO

Bio dell'Autore

Recentemente l’Autorità per la privacy ha sanzionato Vodafone per 12 milioni e 250 mila euro per telemarketing aggressivo. Oltre al pagamento della multa, la società dovrà anche adottare una serie di prescrizioni dettate dal Garante per conformarsi alla normativa nazionale ed europea sulla protezione dei dati personali.

Nonostante i diversi provvedimenti e sanzioni già inflitte, numerose sono state le nuove segnalazioni al Garante in merito alle attività promozionali e di telemarketing attuato da Vodafone per promuovere i propri servizi di telefonia e internet, poco tollerato dagli utenti e operato sia di Vodafone che dai suoi partner o fornitori di servizi telematici.

Si sono evidenziate violazioni non solo dell’obbligo del consenso degli interessati, ma anche dei fondamentali principi di accountability e di Privacy by design e by default, che prevedono l’implementazione delle tutele privacy fin dalla fase di progettazione dei trattamenti.

Ma vediamo meglio quali sono i punti su cui porre l’attenzione, soprattutto in caso di attività commerciali o di marketing, sui quali Vodafone è stata colta in fallo tanto da portare il Garante a decidere di erogare una sanzione pecuniaria così ingente.

1) Mancata raccolta dei consensi

Vodafone non si è premurata di verificare che le liste anagrafiche acquisite da aziende esterne fossero supportate dal necessario consenso degli utenti alla comunicazione dei propri dati a partner commerciali.

Va ricordato che “il consenso del contraente deve essere specifico per ciascuna eventuale finalità perseguita e per ciascun eventuale trattamento effettuato, quale in particolare la comunicazione a terzi per l’invio di loro comunicazioni promozionali” secondo quanto già definito nel provvedimento del Garante del 2013.

Non è legittimo quindi acquisire un unico consenso al trattamento dei dati per finalità promozionali proprie o di terzi, così come non è legittima la cessione o comunicazione di tali dati a soggetti terzi perché inviino a loro volta offerte commerciali, anche qualora si tratti di società controllanti o controllate.

Occorre sempre verificare che le liste di contatti che si stanno acquistando da enti terzi siano state raccolte lecitamente richiedendo un consenso preventivo e specifico per questa precisa finalità.
Ricordiamo che chi intende raccogliere dati personali per comunicarli e/o cederli a terzi deve renderlo chiaro nell’informativa, specificando chi sono “i terzi” a cui verranno comunicati o ceduti i dati o a quale categoria merceologica o economica appartengono.

Solo in questo caso, se i dati raccolti erano supportati da una informativa corretta e un consenso espresso in maniera chiara, le aziende che acquistano tali liste di contatti potranno utilizzare i dati in esse contenuti.

Potete chiedere supporto al vostro DPO affinché esegua i dovuti controlli sul fornitore, per non rischiare di utilizzare dati raccolti illecitamente per proprie attività commerciali.

Tra i compiti del DPO c’è anche quello di verificare che i trattamenti potenzialmente rischiosi siano in regola con la normativa e che tutta la documentazione contrattuale ricevuta e inviata dall’azienda sia legalmente corretta. Il DPO tutela le aziende nei confronti di altre organizzazioni e professionisti.

2) Impossibilità di esercitare il diritto di opposizione

Durante le sue attività di ispezione il Garante ha evidenziato la mancanza di una efficiente policy di gestione per l’esercizio dei diritti degli interessati. In alcuni casi le richieste di accesso ai propri dati effettuate dagli utenti non hanno ricevuto riscontro da parte di Vodafone; altre volte gli utenti, nonostante avessero già fatto ricorso al diritto di opposizione, sono stati ricontrattati telefonicamente o tramite sms per offerte commerciali. La compagnia si è giustificata riconducendo questi eventi ad errori umani o disguidi di sistema, peraltro non documentati, ma visto l’ingente numero di segnalazioni tali scusanti non possono ritenersi, secondo il Garante, valide.

È quindi fondamentale, soprattutto quando ci si interfaccia quotidianamente con gli utenti, elaborare robuste ed efficienti procedure per garantire l’esercizio dei diritti agli interessati (artt. 15-22 GDPR).

Quando ci si trova alla presenza di clienti insoddisfatti, essere in grado di dimostrare la trasparenza, l’organizzazione e l’attenzione alla liceità dei trattamenti svolti metterà al sicuro da eventuali ritorsioni nei confronti dell’azienda.

Di nuovo, appoggiarsi all’esperienza di un DPO esterno nell’elaborare corrette ed efficaci procedure per garantire che gli utenti possano esercitare i propri diritti, come prescritto dal GDPR, può salvare da danni ingenti, spesso non solo economici: avere la fama di disinteressarsi e addirittura di violare i diritti degli utenti è sicuramente una pubblicità negativa per l’azienda!

3) Scarse policy di controllo e misure di sicurezza

Si è poi rilevato come Vodafone non abbia provveduto a implementare sistemi di controllo e misure di sicurezza adeguate che garantissero che i dati raccolti e inseriti nei propri database non fossero originati da chiamate promozionali illecite o indesiderate effettuate non rispettando i principi del GDPR.

In aggiunta a ciò, il Garante ha definito le misure di sicurezza dei sistemi di gestione della clientela inadeguate considerando che si sono verificati ripetuti accessi abusivi ai database contenenti dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento degli utenti.  

Evidentemente quelle attuate non erano misure proporzionate e sufficientemente efficaci per garantire, e in ottica di accountability per dimostrare, che il trattamento venisse effettuato assicurando la riservatezza e l’integrità dei dati personali trattati.

Diventa importantissimo, quindi, seguire i principi di privacy by design e by default ed effettuare fin dal principio una attenta analisi dei rischi per poi testare e valutare regolarmente l’efficacia delle misure tecniche e organizzative adottate al fine di garantire la sicurezza dei trattamenti effettuati.
Oltre ad affidarsi ad un buon tecnico informatico, un DPO esterno potrebbe essere fondamentale per verificare e garantire che le misure adottate siano effettivamente conformi a quanto richiesto dal GDPR.

Per concludere possiamo affermare, quindi, che occorre conoscere e sapere dimostrare quale percorso compiono i dati per essere certi di riuscire a provare la liceità, la trasparenza e la correttezza con i quali vengono trattati.

In tutte queste attività può essere indispensabile affidarsi ad un responsabile per la protezione dei dati che sorvegli sull’operato aziendale e verifichi che le misure adottate e le policy implementate garantiscano la giusta protezione dai rischi e la reattività richiesta in caso di emergenza.

dpo esterno
Scopri di più sull'autore di questo articolo!

Vodafone sanzionata dal Garante privacy: quali errori ha compiuto? Leggi tutto »