Privacy e protezione dei dati

UOMOeAMBIENTE per definire la migliore strategia in materia di privacy e trattamento dei dati, effettua un audit on site in forma completa, utilizzando strumenti propri (manuali ed informatici) e partendo dall’identificazione dei dati presenti in base alla loro tipologia e classificazione, per poi rilevare i flussi di dati ed informazioni (dalla fonte, in termini di raccolta ed acquisizione, al loro utilizzo ed all’archiviazione  o conservazione, fino allo smaltimento, in termini di cancellazione o eliminazione, degli stessi) che caratterizzano tutti i trattamenti funzionali allo svolgimento delle quotidiane attività, interne o esterne, dell’organizzazione, sia in modalità cartacea sia in modalità digitale, con strumenti informatici e telematici.

UOMOeAMBIENTE analizza e delinea efficacemente compiti e responsabilità di chi si occuperà della gestione della privacy e del trattamento dei dati all’interno della struttura aziendale in modo che sia chiaro chi può prendere decisioni, chi deve conformarsi a queste decisioni, quale sia il processo che governa le suddette decisioni, dalla fase della progettazione alla fase dell’implementazione e successiva verifica, e quali siano, infine, le responsabilità sia in capo a colui che decide sia in capo a colui che deve eseguire le decisioni in caso di non conformità delle stesse.

UOMOeAMBIENTE effettua un’analisi del rischio che possa aiutare a comprendere l’effettiva idoneità delle misure da adottare ai sensi del GDPR per prevenire i rischi derivanti da accessi non autorizzati o illeciti, dalla perdita o distruzione dei dati o dal danno accidentale e, in caso tali misure risultino insufficienti, quali siano le misure da implementare per raggiungere un livello adeguato di contrasto ai rischi ipotizzabili.

UOMOeAMBIENTE effettua la valutazione di impatto sulla protezione dei dati (art. 35 del GDPR) tutte le volte in cui essa si renda obbligatoria ovvero quando un trattamento (e prima di darvi inizio) può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori). In quest’ottica, fornisce il supporto necessario a consultare l’autorità di controllo in caso le misure tecniche e organizzative individuate per mitigare l’impatto del trattamento non siano ritenute sufficienti, cioè quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.

UOMOeAMBIENTE provvede alla stesura del registro dei trattamenti (art. 30 del GDPR) in ottemperanza all’obbligo di documentazione di una corretta gestione delle attività di trattamento, ove indicare tutte le finalità del trattamento ma anche le informazioni di dettaglio, le modalità di conservazione dei dati, le misure di sicurezza applicate e tutte quelle tracce documentali necessarie per verificare che gli obblighi normativi previsti del GDPR siano costantemente rispettati. La tenuta del registro costituisce uno dei principali elementi di accountability, in quanto è utile per una completa ricognizione e valutazione dei trattamenti svolti, e quindi finalizzato anche all’analisi del rischio e ad una corretta pianificazione della gestione della privacy e del trattamento dei dati, nonché all’individuazione di un piano di miglioramento costante e continuo.

L’incarico di Data Protection Officer (DPO) assunto da UOMOeAMBIENTE prevede l’assolvimento di tutte quelle funzioni riconducibili all’osservanza, valutazione ed organizzazione della gestione del trattamento di dati e della loro protezione all’interno di un’azienda (sia essa pubblica che privata). In particolare, UOMOeAMBIENTE ha il compito di informare e fornire consulenza, sorvegliare l’osservanza del GDPR nonché delle politiche aziendali in materia di privacy e protezione dei dati personali, fornire un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento, cooperare con l’autorità di controllo e fungere da punto di contatto non solo per l’autorità di controllo ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti.

Al fine di sviluppare un piano di gestione dei dati, soprattutto in termini di misure di cyber security, sia tecniche (fisiche e logiche) sia organizzative, UOMOeAMBIENTE adotta il metodo del Plan-Do-Check-Act (Pianificazione-Esecuzione-Controllo-Correzione) che assicura il monitoraggio ed il miglioramento continuo dei processi e delle procedure. Il metodo prevede che il sistema sia pianificato, implementato, controllato. I risultati dei controlli (attraverso audit periodici) sono funzionali alla stesura dell’intera predisposizione documentale (registro dei trattamenti, documenti informativi, designazione di ruoli e responsabilità di tutti i soggetti coinvolti nella filiera di trattamento, policies da pubblicare sul sito web, ecc.) e consentono di individuare un piano di miglioramento volto a favorire il monitoraggio e l’aggiornamento della stessa. La gestione del rischio, infatti, sarà sempre basata su una ciclicità idonea a testare in maniera continuativa il livello di rischio presente e a prendere le opportune contromisure qualora tale livello si riduca o si innalzi in ragione di alcuni fattori. Infine, dal momento che il rischio per definizione non è mai eliminabile, una governance del suddetto richiederà sempre la predisposizione di un piano di continuità che identifichi le misure volte a prevenire, individuare, reagire e ripristinare i dati e i sistemi sui quali si è concentrata l’analisi.

UOMOeAMBIENTE garantisce il supporto necessario alla valutazione di specifiche normative correlate al GDPR o, comunque, funzionali all’ottemperanza dello stesso. In tale contesto, oltre a fornire la modulistica richiesta dalla Direzione Territoriale del Lavoro per l’istanza di autorizzazione all’installazione di impianti audiovisivi, di impianti e apparecchiature di localizzazione satellitare (GPS) o di altri strumenti di controllo (ai sensi dello Statuto dei Lavoratori) si fa carico di monitorarne gli sviluppi e, se occorre, di interfacciarsi con l’autorità di competenza, fino alla conclusione della procedura.

ISO/IEC 27001 è uno standard internazionale, promosso dalla ISO (International Organization for Standardization) e dalla IEC (International Electrotechnical Commission) e definisce i requisiti per pianificare, attuare, operare, monitorare, riesaminare, mantenere e migliorare un sistema di gestione per la sicurezza della privacy e dei dati personali e non.

Lo standard consente un approccio complessivo alla sicurezza delle informazioni in tutti gli ambiti interessati: dai documenti in formato digitale a quelli in formato cartaceo, alle strumentazioni hardware (computer e reti) alle competenze del personale. Il sistema di gestione per la sicurezza della privacy e dei dati personali dimostra che sono stati analizzati e valutati in modo sistematico e completo tutti i rischi relativi alla sicurezza delle informazioni, derivanti da attacchi dall’esterno o dall’interno, informatici e non informatici, da errori o dal mancato rispetto della normativa vigente pertinente. ISO/IEC 27001 pertanto aiuta ogni organizzazione a garantire, per tutte le informazioni (incluse quelle relative ai clienti e segreti industriali), gli adeguati livelli di riservatezza, integrità e disponibilità, bilanciando le necessità di protezione e gli investimenti.

ISO/IEC 27001 si integra in maniera coerente ed efficace con altri sistemi di gestione, quali ad esempio quelli relativi alla qualità ISO 9001, all’ambiente ISO 14001 e alla gestione dei servizi IT ISO/IEC 20000.

Seguire i requisiti e le linee guida dettate dalla norma consente di identificare, valutare e gestire in modo imparziale i rischi dell’organizzazione, formalizzando i processi, le procedure e la documentazione relativi alla sicurezza della privacy e del trattamento dei dati. Questo consente non solo un miglioramento continuo dei sistemi di gestione ma anche efficacia e efficienza dei processi di miglioramento.

In aggiunta l’applicazione di ISO/IEC 27001 consente di:

• Attestare l’impegno della direzione aziendale per garantire la sicurezza delle informazioni, proteggere i segreti commerciali e il know-how.
• Aumentare la fiducia degli stakeholders dimostrando di saper affrontare e gestire il rischio, garantendo la sicurezza delle loro informazioni;
• Monitorare regolarmente le attività aziendali e attivare le azioni di miglioramento al fine di ridurre incidenti che comportano responsabilità legali e contrattuali;
• Perfezionare la strategia globale di gestione del rischio.

Al fine di garantire opportuni livelli di sicurezza, UOMOeAMBIENTE analizza come vengono gestite le informazioni all’interno dei processi aziendali.

Una corretta analisi dei rischi consente di rafforzare la cyber security migliorando la gestione del flusso documentale (cartaceo e digitale) nonché di minimizzare il rischio derivante da accessi non autorizzati o illeciti, dalla perdita o distruzione dei dati (o dal danno accidentale) e, più in generale, dalla violazione della privacy e dei dati personali.

UOMOeAMBIENTE è in grado di effettuare una analisi approfondita sulla struttura informatica aziendale (Hardware e Software), proponendo soluzioni sostenibili per migliorare la cyber security all’interno dei processi interni e scongiurare possibili violazioni della privacy e dei dati personali.

In tema di Cybersecurity la costruzione di adeguate contromisure non può prescindere da un approccio integrato tra soluzioni tecnologiche e compliance aziendale.

La valutazione  dei rischi finalizzata alla loro  minimizzazione non può prescindere da una corretta implementazione di specifici sistemi di gestione rispetto alle norme tecniche di settore,  a performanti sistemi GDPR e a MOG D.Lgs. 231/01.

Cybercrime, perdita e gestione non corretta dei dati,  social media policy, violazione del perimetro informatico, adeguata formazione degli operatori sono i riferimenti costanti dei processi di compliance e audit proposti da UOMOeAMBIENTE per ottimizzare la tutela aziendale.

Test (Assessment) volti a identificare vulnerabilità

Per valutare il livello di cyber security dell’azienda, UOMOeAMBIENTE rileva la presenza di problematiche senza eseguire alcun tipo di attacco o violazione dei sistemi. Si tratta di un’attività finalizzata all’individuazione del maggior numero di vulnerabilità presenti nei vari asset informatici aziendali. Questo rilevamento viene eseguito esclusivamente tramite analisi dei sistemi, attività di recupero dati e verifiche dei database di vulnerabilità pubblicate.

Penetration Test

Durante questo tipo di processo UOMOeAMBIENTE effettua Il rilevamento delle vulnerabilità attraverso una fase di simulazione di attacco informatico per avere una reale stima della vulnerabilità della privacy e dei dati personali custoditi dall’azienda.

Simulazioni di Data Breach

UOMOeAMBIENTE e in grado di effettuare presso il cliente simulazioni di Data Breach al fine di analizzare, rafforzare e strutturare il processo interno per la gestione delle emergenze che potrebbero mettere a rischio la privacy e i dati personali.

Un Data Breach può avvenire in seguito a perdite accidentali, furti, infedeltà aziendale, accessi abusivi.

Si rendono pertanto fondamentali i seguenti punti:

Preparazione del personale: è necessario creare all’interno dell’azienda un adeguato livello di formazione, sensibilizzazione e consapevolezza affinché il processo non si riduca ad un semplice formalismo presente nella documentazione aziendale.

Corretta reazione: è la fase temporale di maggior importanza, infatti se ben affrontata consente di reagire e mitigare le conseguenze del data breach con la massima efficienza.

Comunicazione efficace: fondamentale per semplificare e coordinare il team per la gestione interna e per la corretta predisposizione di notifiche obbligatorie nei confronti del Garante e degli interessati.

Registro degli eventi e Piano di miglioramento: adottando il metodo del Plan-Do-Check-Act (Pianificazione-Esecuzione-Controllo-Correzione), assicuriamo il monitoraggio ed il miglioramento continuo dei processi e delle procedure. Vale la pena ricordare che non è possibile eliminare il rischio in materia di privacy e trattamento dei dati, ma con un approccio metodologico e organizzativo strutturato è possibile ridurre la probabilità legata ad esso e mitigarne le conseguenze.

Il Modello di analisi del Data Breach è essenziale per poter valutare la necessità o meno di notificare la violazione della privacy e dei dati personali al Garante e agli interessati.

UOMOeAMBIENTE fornisce supporto e aiuta il cliente in tutti i processi relativi alla predisposizione di notifiche al Garante. In tale contesto, oltre a fornire la modulistica, si fa carico di monitorarne gli sviluppi per garantire un’assistenza continua fino alla conclusione della procedura.

La risposta all’evento di data breach è da considerarsi come un vero e proprio processo aziendale, con referenti specifici, fasi ben delineate, metodologie di analisi testate e output chiari, che consistono non solo nel decidere in 72 ore la notifica al Garante, ma anche quali sono le misure di mitigazione da porre in essere, per l’azienda e per l’interessato, al fine di ridurre il rischio e le conseguenze del breach a cui la privacy e i dati personali sono stati esposti.

È fondamentale valutare la severità di un data breach prima di effettuare la notifica di una violazione della privacy e dei dati personali.  Senza un’attenta valutazione del rischio, infatti, sarebbe molto difficile per il titolare del trattamento decidere se procedere o meno alla notifica.

Per consentire al cliente di stare al passo con il mercato tecnologico, UOMOeAMBIENTE è in grado di fornire assistenza nella gestione e protezione della privacy e dei dati personali, adottando strategie sostenibili ed efficaci. In tal contesto, l’implementazione della cyber security volta a garantire la protezione della confidenzialità, integrità e disponibilità di un sistema informatico, ha lo scopo di elevare la sicurezza dei dati e del patrimonio aziendale.

Qualora ci sia la necessità di criptazione dei dati, crittografia asimmetrica e creazione di volumi cifrati al fine di limitare brute force techniques, UOMOeAMBIENTE fornisce anche consulenza in ambito software adibiti a tale funzione.

Attraverso verifiche periodiche, UOMOeAMBIENTE fornisce supporto al mantenimento continuo delle Policy in ambito Privacy, Cybersecurity e gestione del piano di miglioramento e attuazione.