Il Regolamento privacy europeo 679/16 (Gdpr) prevede l’obbligo della formazione per le pubbliche amministrazioni ed imprese in materia di protezione dei dati personali per tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori).
La formazione privacy di dipendenti e collaboratori però è spesso ritenuta una seccatura, tantochè i titolari delle aziende la ritengono una vera e propria perdita di tempo che ostacolerebbe solo lo svolgimento delle
ordinarie attività aziendali. Quando viene proposta da un DPO (responsabile della protezione dei dati personali) o da un consulente, il titolare formula due domande: se la formazione sulla privacy è davvero
necessaria e quanto tempo durerebbe la formazione stessa.
Prima di entrare nel merito di cosa sia e quali finalità abbia la formazione privacy è necessario fornire qualche precisazione. Nel GDPR ci si imbatte in due termini che spesso vengono usati come sinonimi: istruzione e formazione. Quando il legislatore utilizza la parola istruzione intende precisare che il titolare di un’organizzazione (es. Azienda, Studio del Consulente del Lavoro, Commercialista, Pubblica amministrazione, Scuola) si assicura di fornire indicazioni documentate su come trattare dati personali in sicurezza a chiunque agisca sotto la sua autorità ovvero, collaboratori a partita IVA e fornitori di servizi che trattano informazioni relative a persone. Insomma, la parola chiave dell’istruzione è documentazione delle istruzioni operative sul trattamento dei dati. Il termine istruzione diventa CATEGORICO quando la norma stabilisce che chiunque abbia accesso a dati personali non può trattarli se non è istruito dal titolare.
La parola formazione è una attività che ha come destinatari il personale del titolare e la formazione stessa rientra tra le misure di sicurezza organizzative che devono essere adottate per garantire la riservatezza,
l’integrità e la disponibilità dei dati personali trattati ogni giorno. Dunque, la formazione privacy di dipendenti e collaboratori è un obbligo a carico dell’imprenditore perché previsto esplicitamente dalla
normativa.
L’Autorità Garante per la Protezione dei dati personali ha suggerito di pianificare le attività di formazione distinguendo percorsi formativi di base, per apicali e specialisti. La formazione base, destinata a tutti gli
autorizzati a gestire informazioni personali, sia essi dipendenti che collaboratori, deve avere come obiettivo quello di fornire precise indicazioni su come trattare i dati, su quali precauzioni di sicurezza adottare e su
come interpretare alcune anomalie provenienti dalla pratica quotidiana. La formazione per figure apicali sarà destinata a dirigenti, quadri, responsabili di settore e coordinatori di team perché potrebbero ricoprire compiti specifici e quindi dover svolgere trattamenti particolari di dati personali. I corsi di formazione specialistici saranno utili per consentire di studiare, analizzare e fornire indicazioni in settori particolari con
una significativa giurisprudenza settoriale. Ad esempio, il settore IT con l’avvento del digitale e di recente dell’intelligenza artificiale è normato da leggi e provvedimenti anche di altre Autorità di vigilanza.
Per poter effettivamente ottemperare al GDPR e all’obbligo di formazione la stessa dovrebbe:
1. essere pianificata e rinnovata ogni anno;
2. essere svolta quando lo richiedono nuove norme (es. Whistleblowing – segnalazione illeciti);
3. avere una durata di almeno due ore per sessione (per gli aggiornamenti);
4. essere svolta con un eventuale test di verifica finale;
5. consentire il rilascio di una certificazione al partecipante;
6. essere documentabile (raccogliere , data ed ora);
7. non essere noiosa. La presentazione dovrà coinvolgere i partecipanti con domande e risposte.
8. programmata per tutti i nuovi assunti che tratteranno dati personali.
La formazione è la prevenzione, non la cura.
Il Garante per la protezione dei dati personali con Provvedimento del 22 febbraio 2024 [9990706] ha ammonito una società che erogava servizi di videosorveglianza per conto di un Comune, in quanto la stessa avrebbe violato gli artt. 28, parr. 3 e 9, e 32 del Regolamento.
In questo caso la sanzione erogata dal Garante è veramente di poco rilievo, ma ha avuto grande impatto nei confronti sia del Comune che dell’Azienda erogatrice dei servizi, in quanto sono stati soggetti a controlli e hanno dovuto sostenere delle spese per la gestione della segnalazione, e infine hanno creato un precedente.
La sanzione è stata irrilevante perché il Garante ha tenuto in considerazione questi fattori: non vi era monitoraggio sistematico dell’area sottoposta al controllo e le immagini registrate, fino alla segnalazione, non erano state mai visionate e utilizzate in conseguenza di eventi rilevanti per la sicurezza degli impianti e degli utenti; la nomina ex art. 28 tra il Comune e l’Azienda era presente ma non era solo firmata da quest’ultima; sebbene i filmati venissero salvati su una memoria rimovibile, senza l’adozione di tecniche di cifratura, si è tenuto conto dell’occasionalità e della brevità delle registrazioni effettuate (durata massima di quindici secondi); nonché della circostanza che le stesse riprendevano aree pubbliche e che pertanto la probabilità che avvenissero tentativi di rimozione non autorizzata, che avrebbero comportato complesse attività di manomissione dei sistemi, non era alta; la violazione non ha riguardato categorie particolari di dati personali o dati personali relativi a condanne penali e reati; l’Azienda ha offerto una buona cooperazione con l’Autorità nel corso dell’istruttoria essendosi, altresì, attivata, assieme al Comune, per porre fine alla violazione (l’Ente, a seguito della prima richiesta d’informazioni dell’Autorità, ha chiesto all’azienda di “apporre, cautelativamente, un cartello/informativa breve sulla videosorveglianza nelle vicinanze delle tre Stazioni Ecologiche […], nonché un’informativa estesa sul Vostro sito istituzionale”, nonché successivamente è stato chiesto all’Azienda di “interrompere, cautelativamente, ogni trattamento riguardante la videosorveglianza e lo smontaggio di tutti i sistemi di ripresa ivi allocati”); non vi erano state precedenti violazioni.
Sapete tutto questo da dove è partito? Dal semplice fatto che vicino a delle stazioni ecologiche, (solo tre), installate presso il Comune, era stato installato un impianto di videosorveglianza per gestire eventuali manomissioni o danneggiamenti delle stazioni ecologiche, ed un semplice utente ha invece segnalato all’Autorità Garante che non era stata apposta l’informativa e che quindi non era a conoscenza di come venissero trattate le sue immagini quando il sistema rilevava la sua vicinanza alla stazione ecologica.
Pensate che è successo solo tutto questo per una semplice dimenticanza di apposizione di una informativa in area pubblica. E se dovesse succedere presso le vostre aziende, dove il rischio è molto più alto, in quanto il dipendente potrebbe asserire che vi sia un monitoraggio dell’attività lavorativa dello stesso, cosa potrebbe accadere? Di certo, la sanzione non sarebbe solo un ammonimento, in quanto prevede la registrazione di una categoria ben delimitata di soggetti, in un’area privata, dove il lavoratore è “la parte debole” del rapporto, ed infine questo avrebbe rilievi anche civilistici, se preventivamente non si fosse ottenuta l’autorizzazione, tramite ITL o sindacati, alla installazione dell’impianto stesso. Inoltre è sempre bene accertarsi, in caso di gestione dell’impianto a terzi, di come avvenga tutto il processo di raccolta, utilizzo e archiviazione delle immagini, poiché il Titolare risponde sempre anche per inadempimenti del suo Responsabile.
Dott.ssa Luciana Conese e Avv. Clementina Baroni
Il Garante per la protezione dei dati personali, già a partire da novembre 2023, ha avviato una indagine conoscitiva sui siti internet pubblici e privati per verificare l’adozione di idonee misure di sicurezza adeguate ad impedire la raccolta massiva (il c.d. web scraping) di dati personali a fini di addestramento degli algoritmi di intelligenza artificiale (IA) da parte di soggetti terzi. L’indagine conoscitiva riguarda tutti i soggetti pubblici e privati, che operano in qualità di titolari del trattamento, stabiliti in Italia o che offrono in Italia servizi, che mettono a disposizione on-line dati personali liberamente accessibili anche dagli “spider” dei produttori di algoritmi di intelligenza artificiale. Diverse piattaforme di IA, attraverso il webscraping raccolgono, per differenti usi, enormi quantità di dati anche personali pubblicati per specifiche finalità (cronaca, trasparenza amministrativa ecc.) all’interno di siti internet gestiti da soggetti pubblici e privati.
Il web scraping è una tecnica che viene utilizzata per estrarre dati dalle pagine dei siti web, attraverso l’utilizzo di programmi software che automatizzano il recupero dei dati stessi. Si tratta quindi di una tecnica molto simile a quella utilizzata dai motori di ricerca come ad esempio Google, il quale tramite dei Bot, scandaglia la rete per analizzare i siti e indicizzarli, recuperando così dei dati utili per essere rielaborati al fine di proporre dei servizi che soddisfino i bisogni dei propri utenti. È come se questi dati venissero “raschiati” e asportati dai siti, infatti il verbo “to scrape” significa proprio “raschiare“. Una volta estratti, i dati possono essere archiviati in un database per poi essere rielaborati a seconda degli scopi dell’azienda. Non sempre l’utilizzo di tool per la raccolta massiva di informazioni è legale, specialmente se nei termini di utilizzo di un sito viene specificato che questo genere di tool e tecniche non sono ammessi.
Lo scraping oltrepassa la soglia della legalità quando i dati estrapolati vengono impiegati per altri usi, quali la pubblicazione di contenuti in violazione del diritto d’autore, l’utilizzo per scopi di lucro e in violazione delle regole sulla concorrenza, oppure nel caso di raccolta di dati personali per scopi commerciali (ad esempio per fare e-mail marketing con gli indirizzi estratti dai siti) all’insaputa e senza il consenso degli interessati.
Questo tipo di tecnica ha trovato visibilità solo dopo che l’IA ha iniziato a ad avere una rilevanza sociale importante nello scenario di evoluzione tecnologica, e che ha trovato i suoi elementi portanti proprio dall’utilizzo di questi software, che con una capacità di monitoraggio elevatissima, attraverso l’utilizzo di algoritmi, ha fornito enormi quantità di dati ai sistemi di IA.
Il Garante ha ben compreso che, per poter effettivamente avere contezza di quello che succede con i nostri dati raccolti tramite il web scraping, sarebbe stato opportuno approcciarsi in maniera “collaborativa con i collaboratori” della IA.
A breve, molto probabilmente avremo delle novità per noi fruitori dei siti web, ma soprattutto per i fornitori di tali servizi.
Per garantire la massima sicurezza e conformità normativa nella gestione dei servizi informatici della tua azienda, contattaci oggi stesso per richiedere un preventivo personalizzato. Siamo qui per supportarti nella tua strategia di compliance e protezione dei dati.
Il Digital Service Act, in vigore dal 17 febbraio 2024, non sarà applicabile per tutti, ma solo per i c.d. “pesci grossi”, che di dati personali e no, ne mangiano in gran quantità. In particolare, la normativa si applica ai soggetti che gestiscono grandi piattaforme online o grandi motori di ricerca (dove la grandezza è data dal numero di utenti che li utilizzano) (VLOPE/VLOSE), coloro che forniscono le piattaforme online, per i fornitori dei servizi di memorizzazione, coloro che rendono servizi di caching e di mere conduit. Questi ultimi sono unicamente obbligati ad istituire un punto unico di contatto per autorità ed utenti ed a rendere pubblica annualmente la relazione di trasparenza.
Per quanto riguarda invece i fornitori di piattaforme online, non si applicano qualora siano microimprese o piccole imprese, sulla base dell’applicazione dei parametri stabiliti dalla Commissione Europea con raccomandazione 2003/361/CE. Quindi se siete microimprese o piccole imprese sulla base di tali criteri, potrete dormire sonni tranquilli.
Invece per quanto riguarda l’applicazione del NIS2, come già detto nel precedente articolo (rinvio al link), rispetto al NIS1, si è ampliato l’ambito di applicazione: non più solo le aziende operanti nei settori altamente critici/essenziali, ma anche soggetti parimenti qualificati come critici, prevedendo in particolar modo due tipi di settori, quelli definiti essenziali (energetico: elettrico, oil and gas, riscaldamento, idrogeno; settore sanitario: produttori di dispositivi medicali, laboratori, R&D, settore farmaceutico; trasporti: aereo, nautico, ferroviario e stradale; acque e acque di scarico; infrastrutture digitali; P.A.; settore spaziale) e quelli definiti importanti ( settore postale e più in generale di spedizione; gestione/trattamento dei rifiuti; settore chimico: produzione e distribuzione; settore alimentare: approvvigionamento, inclusa anche la grande distribuzione; industrie tecnologiche e ingegneristiche; servizi digitali: social network e servizi di data center; ricerca scientifica)
Importante è sottolineare però che tale direttiva si applica solo alle organizzazioni di medie e grandi dimensioni rientrano e precisamente: grandi organizzazioni, con più di 250 dipendenti e medie organizzazioni, con 50-250 dipendenti.
Per essere aderenti alla NIS2, l’azienda dovrà: stabilire un solido quadro di governance della cyber security, implementare una formazione regolare di sensibilizzazione dei dipendenti, stabilire un piano completo di risposta agli incidenti, condurre valutazioni periodiche del rischio, stabilire la sicurezza della catena di approvvigionamento, aggiornare e applicare regolarmente patch all’infrastruttura e alle applicazioni, utilizzare i giusti strumenti di identificazione delle minacce, implementare il monitoraggio delle minacce e svolgere attività di intelligence, implementare una solida sicurezza della rete e degli endpoint, condurre controlli di sicurezza regolari.
Ma cosa rischia l’azienda se non applica tale direttiva? Le società definite fornitrici di servizi essenziali sono soggette a multe fino a 10 milioni di euro o al 2% del loro fatturato annuo globale, mentre quelle fornitrici di servizi importanti sono soggette a multe fino a 7 milioni di euro o all’1,4% del loro fatturato annuo globale.
Purtroppo, i rischi in ambito cybersecurity sono in costante aumento e iniziare a prevenire è il miglior metodo, al momento, per evitare non solo dei danni diretti, ma anche collaterali, visto che le normative si fanno sempre più stringenti e obbligatorie per tutti. Infatti, le società che hanno già implementato procedure di sicurezza adeguate hanno buone basi per adempiere a quanto richiesto dalla Direttiva NIS2, considerando che la valutazione e la gestione dei rischi informatici dovrebbero già essere state affrontate attraverso la compliance al GDPR o l’adozione di standard ISO (i.e.: 27001).
Quindi un consiglio cara azienda noi te lo vogliamo dare: non fare domani quello che puoi fare oggi, perché domani potresti anche tu essere sommerso da una normativa che prima non ti apparteneva. L’evoluzione tecnologica, così come i rischi cyber. Per questo motivo, prendi in mano la situazione e inizia a creare anche il tuo sistema di compliance aziendale con le certificazioni ISO.
Per garantire la massima sicurezza e conformità normativa nella gestione dei servizi informatici della tua azienda, contattaci oggi stesso per richiedere un preventivo personalizzato. Siamo qui per supportarti nella tua strategia di compliance e protezione dei dati.
La catena di fornitura dei servizi: il mio “patrimonio” informatico come è gestito? Le ISO sono il miglior biglietto da visita che i fornitori possano presentare ai propri clienti.
Normative come il GDPR, il Regolamento DORA, le Direttive NIS, hanno indotto i nostri sistemi di compliance aziendale a doversi adattare velocemente a mitigare i rischi di sicurezza informatica che si potrebbero presentare in qualsiasi momento nello svolgimento della nostra attività aziendale.
La presenza degli standard e delle normative prima citate regolano sia gli adempimenti dei clienti che dei fornitori. Tuttavia, uno dei problemi che deve affrontare un’azienda che utilizza outsourcer e fornitori è quello di verificare le loro reali capacità di essere compliance alle regole e ai limiti imposti dalle normative.
Le soluzioni possibili sono diverse e la possibilità di svolgere attività di audit direttamente dal cliente presso il proprio fornitore non è sicuramente la più utilizzata perché comporta una serie di problemi relativi alla effettiva possibilità di effettuare delle verifiche presso lo stesso, soprattutto nell’ambito di servizi erogati in cloud. Infatti, se pensiamo alla locazione dei data center sparsi per il mondo, diventerebbe difficile gestire un audit. Inoltre, dobbiamo anche pensare che, se un nostro fornitore avesse migliaia di clienti, e tutti volessero verificare la sua affidabilità tramite audit, eventualmente anche in loco, l’azienda stessa potrebbe chiudere i battenti perché non farebbe altro che quello.
Le soluzioni pertanto potrebbero essere diverse, ossia compilazione di check list compilate dal fornitore che il cliente gli propone; l’esibizione di certificazioni rilasciate da enti terzi, che hanno validato un certo servizio/fornitore, quali ad esempio ACN, e che rendono disponibile sui loro cataloghi gli elenchi dei servizi/fornitori che sono stati validati; l’esibizione di certificazioni, quali ad esempio quelle ISO.
Infatti, proprio le ISO sono diventate il miglior biglietto da visita che i fornitori possano offrire al cliente, perché garantisce che lo stesso ha adottato e attuato procedure e best practice per la gestione dei processi interni al fine di accrescere la soddisfazione del cliente mediante il rispetto dei requisiti del cliente stesso. In particolar modo, per i fornitori dei servizi/prodotti informatici, la ISO27001 rappresenta l’affidabilità e la certezza che vi sia un sistema di gestione sicuro per la sicurezza delle informazioni che circolano nella “rete”.
Le recenti normative, DORA e NIS2, di recente applicazione, non fanno altro che accrescere il valore aggiunto della certificazione ISO27001, in quanto ormai il rapporto tra cliente/fornitore si deve appoggiare su un altissimo grado di affidabilità per la sicurezza delle informazioni.
Inizialmente tale tipo di requisito era soltanto previsto per i fornitori che dovessero rendere i propri prodotti/servizi presso gli enti pubblici, ma oggi la certificazione ISO27001, proprio in applicazione alle normative sopra individuate, è diventata per molte aziende clienti un requisito fondamentale proprio per la stipula di un contratto, e ciò potrebbe determinare anche il fallimento di aziende che ne siano sprovviste.
Quindi, caro cliente, sai che hai delle possibilità per capire a chi affidi la tua compliance informatica? E tu, fornitore, sei così sicuro che il miglior biglietto da visita per il cliente sia ancora il sorriso?
Per garantire la massima sicurezza e conformità normativa nella gestione dei servizi informatici della tua azienda, contattaci oggi stesso per richiedere un preventivo personalizzato. Siamo qui per supportarti nella tua strategia di compliance e protezione dei dati.
Sei così sicuro che i fornitori che gestiscono i tuoi dati e le rendono possibili le tue attività siano così affidabili per rendere possibile la tua business continuity? E tu, azienda, sei a conoscenza anche del fatto che potresti essere tu soggetto a normative più ampie che vanno oltre il GDPR?
Qualsiasi imprenditore, oggi, grazie alle innovazioni tecnologiche e alle nuove metodologie di resa più efficace ed efficiente per lo sviluppo della propria attività aziendale, è obbligato a doversi rivolgere a fornitori esterni, soprattutto in ambito ICT.
I nostri fornitori che operano in ambito informatico e che quindi producono o forniscono servizi informatici per le nostre aziende sono soggetti che devono operare nei limiti delle normative nazionali ed internazionali per gestire potenziali rischi in termini di cybersecurity e protezione dei dati.
Particolare attenzione dobbiamo rivolgere a due normative di rilevanza internazionale: il regolamento DORA e la Direttiva NIS2 (Direttiva UE 2022/2555-da recepire in ambito nazionale entro il 17 ottobre 2024).
Il Regolamento DORA cerca di fare un po’ di ordine fra le normative “settoriali” emesse dalle varie autorità di vigilanza che presiedono il mondo finanziario e assicurativo, tanto che si applica alla quasi totalità dei soggetti che operano all’interno del mercato finanziario: non solo le banche, ma le imprese di investimento e le imprese di assicurazione, oltre agli operatori del mercato finanziario e ai loro fornitori.
Quindi la nostra azienda potrebbe non solo avere effetti circa l’applicazione di questa normativa nel caso in cui operasse nel mercato finanziario e assicurativo, ma anche se fossimo noi a fornire prodotti/servizi, in particolare ICT, per questi tipi di operatori.
La Direttiva NIS2 risponde all’esigenza di aggiornare e rafforzare il quadro normativo previsto dalla Direttiva NIS 1. La Direttiva NIS1 si applicava già agli operatori di servizi essenziali (OSE): soggetti pubblici o privati che rivestono un ruolo importante per la società e l’economia e forniscono servizi essenziali (comunemente identificate come “infrastrutture critiche”) e i fornitori di servizi digitali (FSD): Società che forniscono servizi di e-commerce, cloud computing o motori di ricerca (a meno che non siano PMI). Obiettivo della Direttiva NIS 2 è quello di eliminare le divergenze tra ordinamenti, rafforzando gli obblighi di cybersecurity, ampliando il numero di settori e soggetti coinvolti e aumentando la cooperazione tra gli Stati per raggiungere maggiore uniformità di applicazione. Spetterà comunque agli Stati definire, entro il 17 aprile 2025, un elenco dei soggetti essenziali e importanti che saranno chiamati a fornire le necessarie informazioni.
Alla luce di quanto detto, le normative GDPR, NIS2 e DORA hanno diversi punti comuni, fra qui:
- Governance e organizzazione interna: è necessario definire un modello organizzativo chiaro definendo i ruoli e le responsabilità dei soggetti interni all’organizzazione, definire policy e procedure per la corretta applicazione delle misure di sicurezza;
- Approccio basato sul rischio: tutte e tre le normative hanno il cosiddetto approccio “risk-based”. Tutte le attività da svolgere in ambito di protezione dei dati sono quindi da progettare e pianificare in seguito ai risultati ottenuti da una specifica analisi del rischio.
- Gestione degli incidenti: che si tratti di un incidente che riguarda dati personali (GDPR) o meno, si rende comunque necessario identificarlo, analizzare le cause che hanno portato alla violazione e valutare se le misure di sicurezza applicate fossero sufficienti ad evitarlo o a mitigare gli impatti;
- Fornitori e soggetti esterni: quando ci si affida ad un fornitore è necessario valutare che esso applichi misure di sicurezza adeguate alla protezione dei dati e delle informazioni così da avere una supply chain robusta.
Ciò comporta pertanto l’esigenza di tenere conto anche delle misure di gestione del rischio implementate dai propri fornitori e, a livello di governance, prevedendo verifiche costanti e puntuali su ciascuna terza parte coinvolta. Ma fai attenzione che potresti essere anche tu, non solo come fornitore, ma proprio come soggetto che svolge una determinata attività, ad esser soggetto a normative molto più stringenti e vincolanti.
Redatto da Avv. Clementina Baroni e Dott.ssa Luciana Conese
Contattaci per un preventivo gratuito.
Commenti recenti