Menu

ascomalogo reteimpreseitalia

Confcommercio Asti

Sede di Canelli

Agosto 29, 2012

Sede di Canelli

   

Servizi e consulenze

Giugno 16, 2013

Servizi e consulenze

Ai propri Associati, l' ASCOM presta gratuitamente, o a condizioni di assoluto favore, un pacchetto ...

Sede di Moncalvo

Agosto 29, 2012

Sede di Moncalvo

Il nuovo Regolamento Europeo sulla Privacy e protezione dei dati (GDPR)

Privacy Privacy

Sportello aperto presso la CONFCOMMERCIO di Asti. Informazioni e consulenza alle Imprese. Tel. 0141 - 535704

Il nuovo Regolamento Europeo sulla protezione dei dati (GDPR) è già in vigore e dal prossimo 25 maggio 2018, potrebbero scattare le prime sanzioni nei confronti delle “imprese” che non si sono attivate per adeguarsi alla nuova normativa.

LE NOVITA’ PER LA PROTEZIONE DEI DATI PER LE IMPRESE

Col 25 maggio entrerà in vigore il REGOLAMENTO GENERALE sulla PROTEZIONE dei DATI n.2016/679 General Data Protection Regulation – GDPR - riguardante il trattamento e la libera circolazione dei dati personali delle persone fisiche, che sostituirà il Codice della Privacy D.Lgs. 196/03.
Questo regolamento introduce importanti novità nell’ambito della disciplina sulla privacy.
Di fatto le imprese dovranno adeguarsi alle nuove disposizioni dandosi una “nuova organizzazione interna” che potrà variare a seconda dei trattamenti che vengono effettuati dal titolare e questo significa che il “sistema di privacy aziendale” sarà diverso l’uno dall’ altro e dovrà essere creato su misura, partendo dalla “mappatura dell’attività e dei dati aziendali”.
In particolare il “nuovo regolamento” introduce il “principio di responsabilizzazione” o “accountability” il che significa che tutti i titolari di impresa saranno tenuti non soltanto a garantire l’osservanza delle disposizioni del regolamento, ma anche a dimostrare la “tracciabilità” dei comportamenti.
La nuova normativa prevede anche che, in taluni casi, ci sia un impegno ancora maggiore rispetto al passato, prova ne sia che le figure coinvolte oltre a quella del Titolare del Trattamento, del Responsabile del Trattamento e le persone autorizzate al Trattamento, ci sia una “nuova figura”: il “Responsabile della Protezione dei Dati (da nominarsi solo nel caso previsto dal GDPR).

PROTEZIONE dei DATI: COSA DEVONO FARE LE IMPRESE

Principali adempimenti previsti dal GDPR
- Costituzione di un'“organigramma aziendale privacy” ovvero tutte le figure interessate nella gestione dei nuovi obblighi di legge;
- Predisposizione delle “informative” per gli interessati;
- Predisposizione delle “modalità di acquisizione del consenso” dagli interessati;
- “Analisi dei rischi” inerenti il trattamento dei dati;
- Predisposizione del “registro dei trattamenti”
- Adeguata “informazione e informazione”
- Redazione della “Valutazione dell’impatto”, nei casi previsti, per i soggetti cosiddetti ad “elevato rischio” dei diritti di libertà;
- Nomina del “Responsabile Protezione dei Dati” nei casi previsti, per i soggetti cosiddetti ad “elevato rischio” dei diritti di libertà;
- Nomina del “Responsabile Protezione dei Dati” nei casi previsti

Per le IMPRESE sarà fondamentale ATTIVARSI SUBITO per non incorrere nelle SANZIONI che potranno arrivare ad un massimo di 20 MILIONI di euro o fino al 4% del fatturato aziendale
E’ importante AFFIDARE AD ESPERTI LA GESTIONE DELLA PROTEZIONE DEI DATI – PRIVACY

Ascom Confcommercio
TI OFFRE LA SOLUZIONE SU MISURA PER LE TUE ESIGENZE

Abbiamo creato lo “SPORTELLO PRIVACY” a cui le imprese possono rivolgersi per
“VALUTARE i PROCESSI da ADOTTARE”.

download 663/660 Guida all 'applicazione del Regolamento UE 2016/679-1

download Le nuove FAQ sul responsabile della protezione dei dati (RPD) in ambito pubblico

 

 

In Italia esisteva già una “legge sul crimine informatico”

Il fattore tecnologico sempre più presente e costante nelle vite odierne ha portato, oltre che ad evidenti vantaggi, anche ad un incremento di nuove forme di reato: i crimini informatici. (Computer Crimes).
In Italia il legislatore ha emanato le leggi n. 547 del 23 dicembre 1993 e n. 48 del 18 marzo 2008 che introducono una serie di reati, c.d. informatici, all’interno del Codice Penale, quali:

• accesso abusivo ad un sistema informatico o telematico;
• detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici;
• diffusione di programmi diretti a danneggiare o interrompere un sistema informatico;
• intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche;
• installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni
informatiche o telematiche;
• falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche;
• danneggiamento di sistemi informatici o telematici;
• esercizio arbitrario delle proprie ragioni con violenza sulle cose;
• attentato a impianti di pubblica utilità;
• frode informatica;
• ingiuria e diffamazione su Internet.

Per la prevenzione di tali reati è necessaria l’adozione di misure di sicurezza tecniche, informatiche, organizzative e procedurali atte ad impedire l’accesso abusivo al sistema informatico, a minimizzarne i danni e ad eludere la conoscenza di informazioni e dati riservati a soggetti estranei malintenzionati.
Cosa dice il “Regolamento Europeo sulla Protezione dei Dati”
Il Regolamento Generale sulla Protezione dei Dati Personali UE 679/2016 (General Data Protection Regulation - GDPR) che ha l’obiettivo di tutelare i dati personali delle persone fisiche.
É entrato in vigore il 24 maggio 2016.
Le aziende avranno tempo fino al 28 maggio 2018 per adeguarsi, data di effettiva applicazione del GDPR.

Sono tenuti a rispettare i requisiti imposti dal Regolamento : i Titolari del trattamento, ovvero le aziende che trattano dati personali dei propri dipendenti, clienti, fornitori, collaboratori, etc.

Le PMI (Piccole e Medie Imprese) e la sicurezza delle informazioni
In che cosa consiste la sicurezza delle informazioni?
Sicurezza significa in pratica riservatezza, disponibilità e integrità delle informazioni.

Quali sono i rischi di business e di conformità alle normative di legge che bisogna fronteggiare nei trattamenti delle informazioni ?
Ogni PMI presenta diversi livelli di rischio relativi alla sicurezza delle informazioni. La cosa importante è che ogni imprenditore conosca la propria esposizione al rischio e promuova le azioni più adeguate per fronteggiare questi rischi considerando le minacce che possono pregiudicare la sicurezza delle informazioni, i possibili danni a fronte di violazioni di sicurezza e , soprattutto, le “contromisure” da adottare.

Tutte le PMI (piccole medie imprese) di ogni settore nella gestione quotidiana creano, consultano, gestiscono informazioni con strumenti informatici aziendali. Molte informazioni sono riportate anche su documentazione cartacea e richiedono adeguate misure di sicurezza, come previsto specificamente dalle Normative Privacy.

É importante fare un’analisi

sui rischi relativi alla sicurezza delle informazioni, sapendo che sono maggiormente esposte le aziende che:
• non hanno mai valutato la propria esposizione ai rischi
• sono interconnesse in via telematica con clienti e fornitori
• trattano informazioni “critiche” in termini di conformità alle normative
• ricorrono alla terziarizzazione dei servizi
• fanno un utilizzo delle nuove tecnologie (web, social, dispositivi mobili)

I principali adempimenti previsti dal Regolamento Europeo sono:

• aggiornamento delle informative e raccolta dei consensi per il trattamento dei dati personali;
• regolamentazione dei rapporti tramite nomina e/o contratto con i Responsabili del trattamento che trattano dati personali per conto del Titolare;
• nomina di un “Responsabile per la Protezione dei Dati” (Data Protection Officer - DPO) nei casi previsti dal Regolamento;
• valutazione d’impatto quando un trattamento comporta rischi per i diritti e le libertà degli interessati;
• adozione di misure di sicurezza adeguate al trattamento, alle finalità, ai costi di attuazione e ai rischi individuati;
• predisposizione del Registro delle attività di trattamento;
• rispetto dei principi di “protezione dei dati personali già dalla fase di progettazione” (privacy by design) e “raccolta e trattamento per difetto solo dei dati necessari alle finalità” (privacy by default).
• obbligo di notifica all’Autorità Garante e ai soggetti interessati, nei casi più a rischio, qualora si verifichi una violazione dei dati personali .
COSA SI INTENDE PER SISTEMA INFORMATIVO AZIENDALE
Un sistema informativo è un insieme di componenti interconnesse che raccoglie, elabora, memorizza e distribuisce le informazioni necessarie per supportare i processi produttivi, decisionali e di controllo di un’organizzazione.
Comprende tutte le informazioni utilizzate dall’azienda, inclusi i supporti che le contengono, gli strumenti che permettono di crearle, modificarle, cancellarle o trasmetterle e le persone, che sono sempre “fonti di informazioni”. In un moderno sistema informativo aziendale buona parte di esso è composta dal sistema informatico, ossia quella parte del sistema informativo che fa uso delle tecnologie informatiche (computer, programmi, Internet, ecc.) a supporto dei processi aziendali. Rientrano nel sistema informativo anche tutte quelle informazioni che risiedono su altri supporti non informatici, come ad esempio gli archivi cartacei, le fotocopie, le stampe e qualsiasi altro supporto che non viene gestito attraverso sistemi computerizzati.

Riservatezza
Indirizzare la segretezza e la riservatezza delle informazioni, significa prendere le misure idonee per prevenire la divulgazione di informazioni o dati a persone o sistemi non autorizzati.
Garantire la riservatezza significa evitare che persone, volontariamente o involontariamente, possano accedere a una o più informazioni senza che ne abbiano l’autorizzazione.
La riservatezza delle informazioni è d’obbligo per un individuo, la divulgazione potrebbe comportarne il furto di identità, le frodi e la perdita di denaro

Integrità
L’integrità si riferisce ai metodi e alle azioni intraprese per proteggere le informazioni da alterazioni o revisioni non autorizzate.
Le misure di integrità garantiscono che i dati inviati dal mittente al destinatario arrivino senza alterazioni.
Garantire l’integrità delle informazioni vuol dire invece evitare che queste possano essere modificate, cancellate o spostate.

Protezione dei dati personali
L’esigenza di prevenire incidenti ma anche semplicemente di erogare servizi porta alla raccolta di informazioni ed in particolare di dati personali (Vedi anche capitolo 4).
Questa necessità di informazioni deve seguire modalità strutturate di qualità per garantirne la riservatezza. La salvaguardia e la tutela delle informazioni personali è controllata dalla privacy.
Oggetto della normativa sulla privacy sono i dati personali, cioè “qualunque informazione relativa a persona fisica, identificata od identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.
Oggi le informazioni abbondano in rete e gli utenti sono inondati da dati. Internet ha dato vita ad una moltitudine di opportunità e servizi tra cui la contrattazione, vendita e acquisto di informazioni.
Il trattamento delle informazioni ha come cardine la necessità del consenso per il trattamento dei dati personali, che deve essere libero e consapevole.
La normativa prevede una serie di adempimenti e di misure minime che occorre mettere in pratica.
L’organo preposto al controllo relativo alla corretta applicazione della normativa in materia di privacy, è il Garante per la protezione dei dati personali, che opera un controllo preventivo e successivo sulle attività di trattamento di dati personali svolte in Italia.
Il Garante ha poteri istruttori, consultivi e sanzionatori, e costituisce il primo grado per il ricorso amministrativo contro eventuali violazioni della normativa.


Sicurezza informatica (Cyber security)
Per sicurezza informatica (cyber security) s’intende quell’insieme di tecnologie, processi e metodologie progettati per proteggere reti, sistemi, programmi e dati da attacchi, danni o accessi non autorizzati.
Numerose sono le prove che dimostrano come queste minacce stiano rapidamente evolvendo ed abbiano ormai raggiunto livelli di elevata pericolosità e complessità.
Le problematiche della sicurezza informatica comprendono sia la protezione dei dati trattati dai sistemi informatici che quella delle persone e/o beni da essi controllati/gestiti.
Ormai non si ragiona più sul “se succederà”, ma sul “quando”. Oggi molte PMI non seguono neppure le regole per la conformità normativa, incorrendo non solo in rischi operativi, ma anche legali, al contrario delle grandi aziende più sensibili e attente a tale tema. Con questi presupposti, è evidente la maggiore difficoltà delle organizzazioni più piccole nel fare fronte alle nuove minacce, che vengono ad esempio dall’uso di dispositivi mobili, dai Social Media e dalle applicazioni di condivisione di file; tali minacce sono spesso portate in azienda dagli utenti e difficilmente controllabili.
L’approccio delle PMI è incentrato sull’operatività e, durante la fase di sviluppo dei progetti IT, la sicurezza viene considerata un elemento accessorio, piuttosto che essenziale.
In questi contesti il referente difficilmente è un informatico e per i partner tecnologici, produttori o consulenti, diventa davvero problematico trasmettere determinati concetti. Anche quando si arriva a far comprendere il rischio e ad identificare la soluzione, non sempre si riesce a convincere il management ad allocare gli investimenti necessari sulla sicurezza, seppure a fronte di costi banali.
Queste preoccupazioni non sono legate alle dimensioni di un’azienda, ma sono spesso critiche per quelle di medie e piccole dimensioni che operano con risorse e staff limitati.
Prendiamo in considerazione l’esempio di un rivenditore di piccole dimensioni che è stato vittima di un devastante furto di dati che lo ha quasi costretto a chiudere l’attività.

Gli hacker sono stati in grado di accedere al sistema POS del negozio sfruttando uno username e una password deboli e hanno installato il software, che ha acquisito e copiato le informazioni delle carte di credito, prima che venissero inviate per essere elaborate.
Questo software è stato scoperto e rimosso un anno più tardi, ma solo dopo avere comportato una spesa di $22.000 per individuare la fonte della violazione e predisporre un potenziamento della sicurezza.
Questo tipo di violazione dei dati è diffuso e causa tipicamente perdite come conseguenza di inattività (downtime), ammende, perdita di privilegi nel trattamento del credito, nonché di danni alla fidelizzazione del cliente e al valore del marchio.

La sicurezza informatica è responsabilità di tutti;

ogni individuo dell’azienda rappresenta la prima linea di difesa contro i rischi di sicurezza. Anche le buoneintenzioni, come ad esempio la creazione di espedienti (work-around) e scorciatoie per migliorare l’erogazione dei servizi, in grado di violare le politiche di sicurezza, possono portare a conseguenze impreviste e involontarie, tra cui violazioni della sicurezza e divulgazione di informazioni personali.

Garanzie da richiedere ai fornitori esterni (outsourcer)
Negli ultimi anni le trasformazioni avvenute nell’industria e nei servizi hanno imposto una corsa all’innovazione con un’accelerazione allo sviluppo di nuovi prodotti, soddisfacendo la clientela in termini di varietà, flessibilità e dinamicità con una drastica riduzione dei tempi di produzione (time to market), un’ottimizzazione della qualità del prodotto e una ricerca permanente della redditività in termini finanziari.
Tutto questo si riflette sulle imprese che per aver un vantaggio concorrenziale hanno posto la loro attenzione ed i loro sforzi sull’attività di base (Core Competencies) ricercando competenze specifiche all’esterno per tutte le altre attività.
Questa scelta strategica di ricorrere ad altre imprese per lo svolgimento di attività non fondamentali viene definita outsourcing. Attraverso questo processo le aziende assegnano stabilmente a fornitori esterni (eventualmente con trasferimento dell’intero settore di attività), per un periodo contrattuamente definito, la gestione operativa di una o più funzioni in precedenza svolte all’interno.
Data la rilevanza della problematica della riservatezza e della protezione dei dati che le società di outsourcing devono rispettare è necessario disciplinarne tutti gli aspetti.
Oltre all’obbligo di riservatezza delle informazioni, è importate trattare tutte le norme relative alla protezione dei dati personali (Codice Privacy) chiedendo il consenso al trattamento e nominando il fornitore quale responsabile del trattamento. Sia i “Dati” che le “Informazioni” dovranno quindi essere protetti e salvaguardati contro le cause che ne possono pregiudicare l’integrità, la funzionalità e la facilità d’uso.
In base al tipo di servizio posto in essere potranno esserci misure di sicurezza a carico del committente o del fornitore. È importante attribuire alle parti le eventuali responsabilità derivanti da un errato trattamento dei dati.
Il fornitore chiamato a svolgere attività di servizi professionali o di sviluppo dovrà operare in modo che i risultati del lavoro svolto siano coerenti con le specifiche ricevute.
Le specifiche posso riguardare requisiti attinenti alla:
sicurezza fisica, cioè controllo accessi, identificazione delle persone ecc..
sicurezza logica, cioè misure atte alla salvaguardia del sistema e dei dati in esso contenuti quali, ad esempio, software di antintrusione (firewall), sistemi di rilevazione d’intrusione (intrusion detection), ecc..
È compito del cliente far sì che il fornitore riceva tutte le norme alle quali il personale che opera nell’esecuzione delle attività, sancite dal contratto, dovrà attenersi garantendone l’integrità, la riservatezza e la disponibilità.

Come valutare i rischi

Di fatto, una minaccia è costituita da tutti gli eventi in grado di provocare un danno agli apparati tecnologici mediante lo sfruttamento di una o più vulnerabilità, ossia di falle tecnologiche, organizzative o fisiche.

Ambito tecnologico
Le minacce di questo tipo possono intaccare riservatezza, integrità e disponibilità di sistemi e informazioni, sfruttando le vulnerabilità specifiche degli apparati IT. Accessi non autorizzati, furto di informazioni, blocco o danneggiamento di basi dati sono solo alcuni esempi tipici di minacce a cui i sistemi informatici sono esposti. Al fine di ridurre il rischio di attacchi di natura tecnologica, è indispensabile mettere in campo tecniche di controllo proattivo (come, ad esempio, strumenti per il controllo dei sistemi e delle applicazioni web), attivo (quali, ad esempio, apparati per il monitoraggio delle infrastrutture di rete) e attività di verifica ex post (come l’analisi dei log relativi ad accessi o elaborazioni informatiche).
Ambito organizzativo
I sistemi informatici, di fatto, costituiscono l’apparato tecnologico a supporto dei processi aziendali. La protezione delle informazioni deve essere garantita anche attraverso una corretta implementazione di procedure specifiche che, qualora mancanti, renderebbero ininfluenti le contromisure definite nell’ambito tecnologico.
Aspetti legati alla corretta definizione di principi, quali la segregazione dei compiti o il minimo privilegio, sono tra i più comuni nell’ambito di una sicura implementazione dei processi aziendali.
La corretta valutazione dei processi e il grado di protezione organizzativa che va loro riservata sono il risultato di una specifica attività di analisi, volta a definire la criticità degli stessi.
Ambito fisico
Nonostante l’uso sempre crescente di tecnologie offerte come servizi esternalizzati, la protezione delle risorse fisiche deve essere opportunamente considerata nei processi di gestione e valutazione del rischio.
Accadimenti negativi possono essere legati ad eventi naturali straordinari (es. inondazioni, terremoti) piuttosto che relativi ad intervento umano volontario o involontario (come furto, sabotaggio, distruzione di apparati, imperizia).

 

Torna in alto