Contattaci allo 06 4199 0300 oppure inviaci una mail info@vantea.com

GENERAL DATA PROTECTION REGULATION

La necessità di sviluppare business con aziende e con privati ci ha spinto ad attuare un profondo cambiamento dei processi di governance interni, primo tra tutti quello che riguarda il trattamento dei dati.

Con l’avvento del GDPR (Nuovo regolamento Europeo concernente la protezione delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati) scatta per le aziende il conto alla rovescia per adeguarsi alla nuova normativa.Tecnologie come cookie, app, newsletter, dem e tante altre attività che sono oramai la base dell’attuale mercato digitale, devono necessariamente affrontare una nuova e preventiva progettazione ad hoc attenendosi a nuovi principi introdotti quali la privacy by default e la privacy by design.

Vantea SMART, anche per il tramite dei suoi partner, è in grado di soddisfare quanto previsto dalla norma in questi settori ed aiutare il cliente nell’opera di messa in conformità di aree più a rischio come quelle HR, marketing, marketing web e IT, anche alla luce dei già numerosi provvedimenti specifici emessi, nel tempo, dal Garante Italiano.

Vantea SMART ha scelto di avvalersi di professionisti certificati nei settori, privacy, legal e IT che, in accordo e piena collaborazione con la struttura del cliente, garantiranno all’azienda i più alti standard richiesti in materia. Siamo una realtà giovane, forte di un’esperienza ventennale ma, quel che più conta, è la voglia di far bene il nostro lavoro e permettere ai nostri clienti di far meglio il loro.

Data Protection

Il “Nuovo regolamento Europeo concernente la protezione delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati” (GDPR) ovvero il Regolamento UE n°2016/679 prevede l’adozione di comportamenti, regole, best practices, processi e tecnologie volte alla valutazione/minimizzazione dei rischi intrinsechi nelle operazioni di trattamento e gestione dei dati. La nuova disciplina europea, che a far data dal 25 maggio 2018 andrá ad abrogare il Codice Privacy italiano d.lgs. 196/2003 (si ricorda che tale Regolamento comporta l’immediata vigenza della norma UE senza bisogno alcun recepimento a carattere nazionale), risponde alla necessità di adeguamento della tutela alla sempre più veloce trasformazione digitale della società e del mercato commerciale. Tale è la chiave di lettura delle novità introdotte dal GDPR.

D’ora in poi, infatti, il concetto di Data Protection includerà, tra gli altri, principi come:

  • protection by design: necessità di tutelare il dato sin dalla progettazione dei sistemi informatici e dei processi che ne prevedono l’utilizzo;
  • protection by default: rispetto dei principi generali di minimizzazione dei dati e di limitazione delle finalità per le quali tali dati vengono richiesti, anche nel caso di default settings in merito a dispositivi/applicativi/app o, più genericamente, strumenti di lavoro;
  • accountability: il titolare del trattamento deve dimostrare in modo positivo e proattivo che le modalità da lui stesso scelte per il trattamento dei dati sono adeguate e conformi al Regolamento europeo in materia di privacy.

Formazione

La formazione aziendale in ambito privacy è (come è sempre stata) uno dei cardini intorno ai quali prendono corpo tutte le attività che anche il nuovo Regolamento Europeo pone a carico del Titolare del trattamento quali necessarie e responsabilizzanti nei confronti di chi affida lui i propri dati.

Vista, nel tempo, come un ulteriore aggravio di costi ed adempimenti a capo degli imprenditori e della forza lavoro, in realtà essa è una preziosa opportunità per analizzare la struttura interna a livello capillare, uniformare concetti e processi che, negli anni, probabilmente, hanno trovato una loro dimensione, troppo spesso ai limiti della norma.

Utile momento di confronto e verifica, la formazione specifica tutela l’Azienda da eventuali trattamenti illeciti dei dati consentendo al Titolare del trattamento un maggior controllo ed una maggiore consapevolezza dei rischi e delle problematiche cui i dati possono essere esposti durante tutte le fasi del processo di trattamento, che si tratti della semplice operazione di censimento di una persona all’ingresso di un’azienda fino ad arrivare alla più aggressiva e permeante operazione di marketing digitale, o vecchio stampo (cartaceo).

Videosorveglianza

Con l’entrata in vigore del GDPR si conferma la necessità di applicare correttamente quanto già previsto in materia di videosorveglianza.

Essa è un tipo di trattamento di dati specifico, effettuato mediante l’utilizzo di dispositivi di registrazione o monitoraggio di persone, di luoghi o di oggetti all’interno o all’esterno di un’area. Già nel 1970 il legislatore italiano aveva tracciato i confini, in ambito lavorativo, per l’utilizzo di dispositivi e tecnologie la cui attività poteva incidentalmente riprendere, monitorare, controllare, l’opera di un lavoratore limitandone, di fatto, i diritti.

L’impiego di sistemi di videosorveglianza deve, pertanto, seguire un iter che vede il Titolare doversi conformare a più leggi/provvedimenti nello stesso istante.

Ad esempio, adempiere correttamente a quanto previsto dalla normativa privacy, non esclude la necessaria autorizzazione da parte della Rappresentanza sindacale (dove presente) o dalla Direzione provinciale del lavoro (di competenza) all’installazione di un impianto. Tale iter si complica anche in virtù della valutazione derivante da tecnologie o da tempistiche di registrazione previste/ipotizzate per le finalità per le quali si intende installare l’impianto di videosorveglianza.

Sentenze in materia hanno ulteriormente chiarito dubbi ed interpretazioni sull’operatività, indicando chiaramente che una telecamera installata vera, finta, accesa o spenta, senza un’autorizzazione da parte degli organi sopra citati, ottenuta prima del suo posizionamento, configura sempre un illecito trattamento, esponendo l’azienda (Titolare del trattamento) ad una possibile condanna penale.

Cloud

Il cloud computing, paradigma di erogazione di risorse informatiche caratterizzato dalla disponibilità on demand attraverso Internet, ha conosciuto recentemente una crescente fortuna nell’ambito dei servizi di Information and Communication Technology. Le aziende, infatti, possono usufruire di maggior flessibilità dei servizi, con una riduzione dei costi di gestione dell’informatica. Per quanto flessibile ed economico, però, l’utilizzo di servizi cloud comporta, inevitabilmente l’affidamento a terzi di servizi e dati aziendali e, di conseguenza l’esposizione ad un livello di rischio elevato: agli aspetti tradizionali, quali ad esempio la gestione degli accessi e la protezione delle informazioni, si devono sommare anche rischi specifici, legati anche ai modelli di cloud di cui si intende usufruire (SaaS, Iaas, PaaS).

Nell’adottare soluzioni di cloud computing, le aziende devono tenere in particolare considerazione gli obblighi di conformità imposti non solamente da standard industriali, ma anche dalla legge. Il General Data Protection Regulation (GDPR), ovvero il Regolamento UE n. 679/2016 in materia di trattamento e protezione dei dati personali, infatti, stabilisce precisi obblighi e responsabilità dei Titolari in caso di esternalizzazione di un trattamento. Le imprese devono dunque valutare attentamente i rischi relativi alla sicurezza dei dati connessi allo sfruttamento della tecnologia cloud, nonché la conformità del servizio offerto dal provider alla nuova normativa europea.

Sicurezza IT

La rapidità dell’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati. Con il Regolamento UE n. 679/2016 (GDPR – General Data Protection Regulation), il legislatore europeo non ha perso l’occasione di evidenziare l’imprescindibilità della protezione dei sistemi informatici, soprattutto a causa della crescente interconnessione di questi, nonché dell’aumento dei servizi offerti attraverso la rete. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il Titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente alle previsioni del nuovo Regolamento. Le aziende devono, quindi, porre in essere comportamenti idonei al fine di contrastare i rischi informatici. Per essere consapevole delle vulnerabilità che, concretamente potrebbero mettere a rischio l’intera struttura aziendale, il Titolare del trattamento – in accordo con il principio di accountability, vera e propria pietra angolare del GDPR – dovrebbe effettuare un’analisi proattiva dei sistemi e delle tecnologie di sicurezza

Vulnerability Assessment (VA)

Con l’introduzione del principio di accountability (responsabilizzazione del Titolare), diventa fondamentale per le aziende avvalersi delle analisi poste in essere da esperti di cyber security, al fine di essere, in prima battuta, conformi con quanto previsto dal GDPR in materia di misure tecniche e organizzative adeguate e, nel lungo periodo, protetti dalle sempre crescenti minacce informatiche.

L’attività di Vulnerability Assessment (VA) consiste nell’analisi delle vulnerabilità presenti nelle infrastrutture IT appartenenti ad una rete informatica e si pone, tra gli altri, l’obiettivo di valutare ed evidenziare eventuali problematiche, anche latenti, relative alla sicurezza dei sistemi. Ciò permette di poter colmare il GAP evidenziato dall’esame e rendere, di fatto, le infrastrutture informatiche meno esposte a possibili attacchi esterni ed alle conseguenti violazioni di dati personali (data breach).
Le vulnerabilità vengono, da prima individuate grazie a software di scansione e, successivamente, categorizzate per tipologia, con un’assegnazione del grado di gravità che ricorda il metodo di triage applicato sui pazienti in ingresso al Pronto Soccorso. Questo permette al Titolare di pianificare ed attuare la messa in sicurezza dei propri sistemi intervenendo immediatamente laddove un attacco causerebbe un danno maggiore, sia a livello economico, sia a livello di immagine e reputazione dell’azienda.

È buona norma effettuare l’attività con cadenza regolare poiché le tecniche di attacco evolvono rapidamente.

Penetration Test (PT)

L’attività di Penetration Testing, che avviene generalmente al termine di quella di Vulnerability Assessment, consiste nel tentativo di “abusare” di eventuali vulnerabilità individuate a carico dei sistemi informatici di un’azienda, al fine di determinare se sia possibile o meno eseguire accessi non autorizzati o altre attività illecite come, ad esempio, il furto o la cancellazione/distruzione di dati.

Per determinare il livello di vulnerabilità delle componenti di rete esposte al pubblico ed assicurarsi che le misure di difesa siano adeguate nell’individuare e contrastare tutte le possibili azioni illecite, è fondamentale eseguire questa attività periodicamente.

Le tipologie di Penetration Testing si suddividono in base alla quantità di informazioni in possesso dell’attaccante, ad esempio:

  • White box (test autenticato): viene simulato l’attacco da parte di un utente con credenziali valide e piena conoscenza dell’infrastruttura IT bersaglio. Solitamente le informazioni fornite sono: diagrammi di rete, indirizzi IP, configurazioni di sistema, credenziali con diversi livelli di permission. Questo tipo di test è particolarmente utile quando si vuole capire quanti danni potrebbe causare l’azione di un insider malintenzionato o di un esterno in possesso di credenziali rubate.
  • Black box (test non autenticato): viene simulato l’attacco di un hacker esterno che agisce al fine di ottenere accesso non autorizzato ai sistemi ed esfiltrare o distruggere dati, o, semplicemente, per causare un disservizio. Per questo tipo di test non viene fornito alcun dettaglio tecnico.
  • Gray box: rappresenta una via di mezzo tra le precedenti; generalmente vengono forniti gli indirizzi IP bersaglio (ed eventualmente la parte di schema di rete per raggiungerli) e le credenziali di un utente senza permessi.