Privacy e protezione dei dati

“Affermare che non si è interessati alla privacy perché non si ha nulla da nascondere è come dire che non si è interessati alla libertà di parola

perché non si ha nulla da dire.” – Edward Snowden

Privacy e Protezione dei Dati

L’implementazione di misure di sicurezza adeguate ed efficaci, così come richiesto dai recenti regolamenti europei, è necessaria per costruire un corretto rapporto tra cyber security e protezione dei dati personali e non. Molto spesso viene riservata una adeguata importanza alla sicurezza informatica soltanto a seguito di incidenti che causano perdite economiche per l’impresa.

Gli investimenti in cyber security non dovrebbero essere effettuati per il mero timore di subire perdite ma dovrebbero essere visti come un’opportunità di crescita dal momento che ne deriverebbe una maggiore sicurezza ed affidabilità dei propri prodotti e servizi.

GDPR

Il Regolamento generale per la protezione dei dati personali UE 2016/679 (General Data Protection Regulation o GDPR), applicabile a qualsiasi organizzazione, è la normativa europea in materia di protezione dei dati  ed ha come scopo l’armonizzazione delle regole di protezione dei dati personali, assegnando a questo tema un ruolo espressivo di un diritto fondamentale dei cittadini europei. Il regolamento richiede un approccio analitico e preventivo di ogni trattamento per assicurare le garanzie indispensabili di conformità ai requisiti e di tutela dei diritti degli interessati. UOMOeAMBIENTE, grazie ad esperti con competenze specialistiche, affianca le imprese per l’adeguamento e la gestione delle proprie politiche di privacy in accordo ai requisiti vigenti.

Check Up di Valutazione Conformità in accordo al GDPR

UOMOeAMBIENTE effettua un’analisi iniziale dell’organizzazione attraverso procedure di test on site, per una prima valutazione sugli adempimenti normativi posti in essere e sull’efficacia delle misure adottate nel rispetto della vigente regolamentazione in materia di protezione dei dati personali. Si tratta di un’analisi effettuata sull’intera predisposizione documentale, se presente, nonché sui documenti informativi (e sui loro contenuti) o sui contratti di servizi per verificarne la correttezza ed il soddisfacimento dei nuovi requisiti imposti dal GDPR.

Identificazione e Classificazione dei Dati e dei Flussi Informativi (Data Inventory, Data Discovery & Classification)

UOMOeAMBIENTE effettua un audit on site in forma completa, utilizzando strumenti propri (manuali ed informatici) e partendo dall’identificazione dei dati presenti in base alla loro tipologia e classificazione, per poi rilevare i flussi di dati ed informazioni (dalla fonte, in termini di raccolta ed acquisizione, al loro utilizzo ed all’archiviazione  o conservazione, fino allo smaltimento, in termini di cancellazione o eliminazione, degli stessi) che caratterizzano tutti i trattamenti funzionali allo svolgimento delle quotidiane attività, interne o esterne, dell’organizzazione, sia in modalità cartacea sia in modalità digitale, con strumenti informatici e telematici.

Governance dei Dati

UOMOeAMBIENTE analizza e delinea efficacemente compiti e responsabilità all’interno della struttura aziendale in modo che sia chiaro chi può prendere decisioni, chi deve conformarsi a queste decisioni, quale sia il processo che governa le suddette decisioni, dalla fase della progettazione alla fase dell’implementazione e successiva verifica, e quali siano, infine, le responsabilità sia in capo a colui che decide sia in capo a colui che deve eseguire le decisioni in caso di non conformità delle stesse.

Analisi del Rischio (GDPR Risk Assessment)

UOMOeAMBIENTE effettua un’analisi del rischio che possa aiutare a comprendere l’effettiva idoneità delle misure da adottare per prevenire i rischi derivanti da accessi non autorizzati o illeciti, dalla perdita o distruzione dei dati o dal danno accidentale e, in caso tali misure risultino insufficienti, quali siano le misure da implementare per raggiungere un livello adeguato di contrasto ai rischi ipotizzabili.

Analisi DPIA (Data Protection Impact Assessment)

UOMOeAMBIENTE effettua la valutazione di impatto sulla protezione dei dati (art. 35 del GDPR) tutte le volte in cui essa si renda obbligatoria ovvero quando un trattamento (e prima di darvi inizio) può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori). In quest’ottica, fornisce il supporto necessario a consultare l’autorità di controllo in caso le misure tecniche e organizzative individuate per mitigare l’impatto del trattamento non siano ritenute sufficienti, cioè quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.

Audit, Gap Analysis & definizione del Piano di Azione (GDPR Risk Management)

UOMOeAMBIENTE provvede alla stesura del registro dei trattamenti (art. 30 del GDPR) in ottemperanza all’obbligo di documentazione di una corretta gestione delle attività di trattamento, ove indicare tutte le finalità del trattamento ma anche le informazioni di dettaglio, le modalità di conservazione dei dati, le misure di sicurezza applicate e tutte quelle tracce documentali necessarie per verificare che gli obblighi normativi previsti dal nuovo Regolamento Europeo siano costantemente rispettati. La tenuta del registro costituisce uno dei principali elementi di accountability, in quanto è utile per una completa ricognizione e valutazione dei trattamenti svolti, e quindi finalizzato anche all’analisi del rischio e ad una corretta pianificazione dei trattamenti, nonché all’individuazione di un piano di miglioramento costante e continuo.

Assunzione del ruolo di DPO

L’incarico di Data Protection Officer (DPO) assunto da UOMOeAMBIENTE prevede l’assolvimento di tutte quelle funzioni riconducibili all’osservanza, valutazione ed organizzazione della gestione del trattamento di dati e della loro protezione all’interno di un’azienda (sia essa pubblica che privata). In particolare, UOMOeAMBIENTE ha il compito di informare e fornire consulenza, sorvegliare l’osservanza del GDPR nonché delle politiche aziendali in materia di protezione dei dati personali, fornire un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento, cooperare con l’autorità di controllo e fungere da punto di contatto non solo per l’autorità di controllo ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti.

Consulenze Tecniche in materia di Protezione dei Dati

Al fine di sviluppare un piano di gestione dei dati, soprattutto in termini di misure di sicurezza, sia tecniche (fisiche e logiche) sia organizzative, UOMOeAMBIENTE adotta il metodo del Plan-Do-Check-Act (Pianificazione-Esecuzione-Controllo-Correzione) che assicura il monitoraggio ed il miglioramento continuo dei processi e delle procedure. Il metodo prevede che il sistema sia pianificato, implementato, controllato. I risultati dei controlli (attraverso audit periodici) sono funzionali alla stesura dell’intera predisposizione documentale (registro dei trattamenti, documenti informativi, designazione di ruoli e responsabilità di tutti i soggetti coinvolti nella filiera di trattamento, policies da pubblicare sul sito web, ecc.) e consentono di individuare un piano di miglioramento volto a favorire il monitoraggio e l’aggiornamento della stessa. La gestione del rischio, infatti, sarà sempre basata su una ciclicità idonea a testare in maniera continuativa il livello di rischio presente e a prendere le opportune contromisure qualora tale livello si riduca o si innalzi in ragione di alcuni fattori. Infine, dal momento che il rischio per definizione non è mai eliminabile, una governance del suddetto richiederà sempre la predisposizione di un piano di continuità che identifichi le misure volte a prevenire, individuare, reagire e ripristinare i dati e i sistemi sui quali si è concentrata l’analisi.

Istanze Autorizzative connesse alla Protezione dei Dati

UOMOeAMBIENTE garantisce il supporto necessario alla valutazione di specifiche normative correlate al GDPR o, comunque, funzionali all’ottemperanza dello stesso. In tale contesto, oltre a fornire la modulistica richiesta dalla Direzione Territoriale del Lavoro per l’istanza di autorizzazione all’installazione di impianti audiovisivi, di impianti e apparecchiature di localizzazione satellitare (GPS) o di altri strumenti di controllo (ai sensi dello Statuto dei Lavoratori) si fa carico di monitorarne gli sviluppi e, se occorre, di interfacciarsi con l’autorità di competenza, fino alla conclusione della procedura.

Cybersecurity

Le aziende 4.0 sono protagoniste della digital transformation e per potersi relazionare con clienti, partner e fornitori devono ricorrere sempre più spesso alla digitalizzazione.

In questo contesto la Cyber Security si è evoluta e alle aziende sono richieste verifiche puntuali sulla sicurezza della loro infrastruttura.

È fondamentale per le aziende determinare le strategie per valutare i potenziali rischi che si possono generare attraverso l’utilizzo di email, le navigazione e l’utilizzo di risorse informatiche. Gli specialisti UOMOeAMBIENTE, dopo l’analisi della situazione esistente, suggeriscono le misure di sicurezza più adatte per valutare e migliorare il livello di sicurezza informatica dell’infrastruttura. La cyber security è molto di più di una semplice soluzione tecnologica di protezione, è un vero e proprio processo di sviluppo che porta alla realizzazione di un programma strutturato di sicurezza aziendale.

Sistematici controlli tecnologici, organizzativi e procedurali permettono di contrastare le minacce informatiche più frequenti. Una valutazione concreta della gravità di eventuali falle di sicurezza serve ad aumentare la resilienza agli attacchi informatici.

ISO/IEC 20000:18 Sistema di Gestione dei Servizi IT

L’ISO/IEC 20000:18 definisce i requisiti che un fornitore di servizi (service provider) deve avere per fornire servizi IT di alto livello di qualità (SMS). La certificazione attesta la conformità del fornitore di servizi ai requisiti richiesti dalla norma. 

La norma è stata nel 2018 allineata alle norme per i sistemi di gestione, tenendo in considerazione la struttura dei requisiti così come derivata dall’Annex SL della ISO (High Level Structure). Le organizzazioni che la adottano possono integrare facilmente sistemi di gestione multistandard (es. ISO 9001, ISO 27001, ISO 20000). Rientrano negli aspetti correlati alla HLS: il contesto dell’organizzazione, la leadership, la pianificazione, il supporto ai sistemi di gestione, la valutazione della performance e il miglioramento continuo. Sono specifici della norma gli aspetti definiti dalle seguenti categorie:

  • Operational Planning & Control
  • Service Portfolio
  • Relationship e Agreement
  • Supply & Demand
  • Service Design, Build & Transition
  • Service Assurance

Fra i benefici derivanti dalla corretta applicazione della norma si possono menzionare il miglioramento nella capacità di pianificazione e controllo e la conseguente riduzione dei costi di erogazione del servizio, il miglioramento della produttività e l’incremento della soddisfazione del cliente a fronte di servizi maggiormente orientati alle sue specifiche esigenze.

ISO/IEC 27001 Sistema di Gestione della Sicurezza delle Informazioni

ISO/IEC 27001 è uno standard internazionale, promosso dalla ISO (International Organization for Standardization) e dalla IEC (International Electrotechnical Commission) e definisce i requisiti per pianificare, attuare, operare, monitorare, riesaminare, mantenere e migliorare un sistema di gestione per la sicurezza delle informazioni.

Lo standard consente un approccio complessivo alla sicurezza delle informazioni in tutti gli ambiti interessati: dai documenti in formato digitale a quelli in formato cartaceo, alle strumentazioni hardware (computer e reti) alle competenze del personale. Il sistema di gestione per la sicurezza delle informazioni dimostra che sono stati analizzati e valutati in modo sistematico e completo tutti i rischi relativi alla sicurezza delle informazioni, derivanti da attacchi dall’esterno o dall’interno, informatici e non informatici, da errori o dal mancato rispetto della normativa vigente pertinente. ISO/IEC 27001 pertanto aiuta ogni organizzazione a garantire, per tutte le informazioni (incluse quelle relative ai clienti e segreti industriali), gli adeguati livelli di riservatezza, integrità e disponibilità, bilanciando le necessità di protezione e gli investimenti.

ISO/IEC 27001 si integra in maniera coerente ed efficace con altri sistemi di gestione, quali ad esempio quelli relativi alla qualità ISO 9001, all’ambiente ISO 14001 e alla gestione dei servizi IT ISO/IEC 20000.

Seguire i requisiti e le linee guida dettate dalla norma consente di identificare, valutare e gestire in modo imparziale i rischi dell’organizzazione, formalizzando i processi, le procedure e la documentazione relativi alla sicurezza delle informazioni. Questo consente non solo un miglioramento continuo dei sistemi di gestione ma anche efficacia e efficienza dei processi di miglioramento.

In aggiunta l’applicazione di ISO/IEC 27001 consente di:

  • Attestare l’impegno della direzione aziendale per garantire la sicurezza delle informazioni, proteggere i segreti commerciali e il know-how.
  • Aumentare la fiducia degli stakeholders dimostrando di saper affrontare e gestire il rischio, garantendo la sicurezza delle loro informazioni;
  • Monitorare regolarmente le attività aziendali e attivare le azioni di miglioramento al fine di ridurre incidenti che comportano responsabilità legali e contrattuali;
  • Perfezionare la strategia globale di gestione del rischio.

Analisi Metodologie di Gestione delle Informazioni Aziendali

Al fine di garantire opportuni livelli di sicurezza, UOMOeAMBIENTE analizza come vengono gestite le informazioni all’interno dei processi aziendali.

Una corretta analisi dei rischi consente di rafforzare la sicurezza informatica migliorando la gestione del flusso documentale (cartaceo e digitale) nonché di minimizzare il rischio derivante da accessi non autorizzati o illeciti, dalla perdita o distruzione dei dati (o dal danno accidentale) e, più in generale, dalla violazione della privacy.

Identificazione e Classificazione degli Strumenti Informatici Aziendali

UOMOeAMBIENTE è in grado di effettuare una analisi approfondita sulla struttura informatica aziendale (Hardware e Software), proponendo soluzioni sostenibili per migliorare l’apporto tecnologico all’interno dei processi interni e scongiurare possibili violazioni di dati personali e perdite di dati.

Legal Risk e 231/01 Assessment

In tema di Cybersecurity la costruzione di adeguate contromisure non può prescindere da un approccio integrato tra soluzioni tecnologiche e compliance aziendale.

La valutazione  dei rischi finalizzata alla loro  minimizzazione non può prescindere da una corretta implementazione di specifici sistemi di gestione rispetto alle norme tecniche di settore,  a performanti sistemi GDPR e a MOG D.Lgs. 231/01.

Cybercrime, perdita e gestione non corretta dei dati,  social media policy, violazione del perimetro informatico, adeguata formazione degli operatori sono i riferimenti costanti dei processi di compliance e audit proposti per ottimizzare la tutela aziendale.

Vulnerability Assessment, Penetration Test e Simulazioni di Data Breach

Test (Assessment) volti a identificare vulnerabilità

Durante questo tipo di processo UeA rileva la presenza di problematiche senza eseguire alcun tipo di attacco o violazione dei sistemi. Si tratta di un’attività finalizzata all’individuazione del maggior numero di vulnerabilità presenti nei vari asset informatici aziendali. Questo rilevamento viene eseguito esclusivamente tramite analisi dei sistemi, attività di recupero dati e verifiche dei database di vulnerabilità pubblicate.

Penetration Test

Durante questo tipo di processo UeA effettua Il rilevamento delle vulnerabilità attraverso una fase di simulazione di attacco informatico per avere una reale stima dell’impatto che certe problematiche comportano all’interno dell’azienda.

Simulazioni di Data Breach

UeA e in grado di effettuare presso il cliente simulazioni di Data Breach al fine di analizzare, rafforzare e strutturare il processo interno per la gestione delle emergenze.

Un Data Breach può avvenire in seguito a perdite accidentali, furti, infedeltà aziendale, accessi abusivi.

Si rendono pertanto fondamentali i seguenti punti:

Preparazione del personale: è necessario creare all’interno dell’azienda un adeguato livello di formazione, sensibilizzazione e consapevolezza affinché il processo non si riduca ad un semplice formalismo presente nella documentazione aziendale.

Corretta reazione: è la fase temporale di maggior importanza, infatti se ben affrontata consente di reagire e mitigare le conseguenze del data breach con la massima efficienza.

Comunicazione efficace: fondamentale per semplificare e coordinare il team per la gestione interna e per la corretta predisposizione di notifiche obbligatorie nei confronti del Garante e degli interessati.

Registro degli eventi e Piano di miglioramento: adottando il metodo del Plan-Do-Check-Act (Pianificazione-Esecuzione-Controllo-Correzione), assicuriamo il monitoraggio ed il miglioramento continuo dei processi e delle procedure. Vale la pena ricordare che non è possibile eliminare il rischio, ma con un approccio metodologico e organizzativo strutturato è possibile ridurre la probabilità legata ad esso e mitigarne le conseguenze.

Predisposizione di Notifiche Obbligatorie in caso di Data Breach

Il Modello di analisi del Data Breach è essenziale per poter valutare la necessità o meno di notificare la violazione dei dati personali al Garante e agli interessati.

UeA fornisce supporto e aiuta il cliente in tutti i processi relativi alla predisposizione di notifiche al Garante. In tale contesto, oltre a fornire la modulistica, si fa carico di monitorarne gli sviluppi per garantire un’assistenza continua fino alla conclusione della procedura.

La risposta all’evento di data breach è da considerarsi come un vero e proprio processo aziendale, con referenti specifici, fasi ben delineate, metodologie di analisi testate e output chiari, che consistono non solo nel decidere in 72 ore ‘’se notificare”, ma anche quali sono le misure di mitigazione da porre in essere, per l’azienda e per l’interessato, al fine di ridurre il rischio e le conseguenze del breach a cui i dati personali sono stati esposti.

È fondamentale valutare la severità di un data breach prima di effettuare la notifica di una violazione dei dati.  Senza un’attenta valutazione del rischio, infatti, sarebbe molto difficile per il titolare del trattamento decidere se procedere o meno alla notifica.

Consulenza Tecniche in materia di Cybersecurity

Per consentire al cliente di stare al passo con il mercato tecnologico, UeA è in grado di fornire assistenza nella gestione e protezione dei dati, adottando strategie sostenibili ed efficaci. In tal contesto, l’implementazione di strumenti e tecnologie volte a garantire la protezione della confidenzialità, integrità e disponibilità di un sistema informatico, ha lo scopo di elevare la sicurezza dei dati e del patrimonio aziendale.

Qualora ci sia la necessità di criptazione dei dati, crittografia asimmetrica e creazione di volumi cifrati al fine di limitare brute force techniques, UeA fornisce consulenza in ambito software adibiti a tale funzione.

Attraverso verifiche periodiche, UeA fornisce supporto al mantenimento continuo delle Policy in ambito Privacy, Cybersecurity e gestione del piano di miglioramento e attuazione.

Aree di intervento

Smart working e privacy dei lavoratori: una nuova sfida.
Smart working e privacy dei lavoratori: una nuova sfida.

Conciliare lo smart working con la privacy dei lavoratori e con la sicurezza dei dati trattati fuori sede, sia in ambito aziendale privato sia nel settore delle pubbliche amministrazioni, sarà una delle sfide dei prossimi mesi, dato il prolungamento dello stato di...

Nuovo portale | Incentivi e Finanza agevolata
Nuovo portale | Incentivi e Finanza agevolata

Perdersi nel mare delle agevolazioni e dei contributi a fondo perduto è molto facile, al giorno d’oggi.Paradossalmente, riuscire ad ottenerle non è così semplice, come potrebbe invece suggerire il numero di proposte e bandi pubblicati (finanziamenti per l’agricoltura,...

CCIAA Verona –  Voucher digitalizzazione
CCIAA Verona –  Voucher digitalizzazione

Finanziamento a fondo perduto fino al 50% per interventi in tema di digitalizzazione.   Sintesi Area Geografica: Veneto Scadenza: presentazione domande dal 20/08/2020 al 30/09/2020 Beneficiari: PMI, Micro Impresa Settore: Agricoltura, Artigianato, Commercio,...

Giornata della protezione dei dati
Giornata della protezione dei dati

 Cos'è e perché è importante I dati personali delle persone vengono elaborati ogni secondo: nelle relazioni con le autorità pubbliche, al lavoro, in ambito medico, durante i viaggi, l’acquisto di beni e servizi o la navigazione sul Web. Generalmente le persone non...

Stop al telemarketing anche sul cellulare
Stop al telemarketing anche sul cellulare

Telefonate indesiderate dai call center: la novità sul registro delle opposizioni.Allo stato attuale, il diritto di opposizione al marketing telefonico e postale è espresso attraverso l’iscrizione del proprio numero di telefono e/o indirizzo postale associato...