LOADING CLOSE

Blog

Focus e Approfondimenti

“Google Analytics illecito? Perché e cosa fare”

Ne parleremo insieme a Daniele Gombi, CEO di Datapro. 📅 L\'appuntamento è per mercoledì 20 luglio alle ore 16:30, WEBINAR GRATUITO organizzato da SwitchUp srl azienda specializzata nella Digital Transformation, Web e Social media marketing Durante il webinar vedremo:▪️ i passaggi per avere un sito web conforme alla normativa▪️ come interviene l\'Autorità Garante▪️ alcuni casi pratici Registrati gratuitamente e segui il webinar in diretta ➡️ Clicca qui 

DATAPRO: migliorare la sicurezza delle informazioni aziendali con la certificazione ISO/IEC 27001

Pubblichiamo di seguito il testo completo dell\'intervista al Dott. Daniele Gombi, fondatore e titolare di Datapro, apparsa su Il Sole 24 Ore di giovedì 16 settembre 2021. DATAPRO: migliorare la sicurezza delle informazioni aziendali con la certificazione ISO/IEC 27001 Le aziende non possono più accettare che le loro informazioni siano vulnerabili, soggette ad attacchi esterni e interni, o che interruzioni dovute a processi IT paralizzino le attività. La risposta alle crescenti minacce deve essere quindi organizzata e deve mirare alla costruzione di un sistema di gestione della sicurezza delle informazioni che aiuti a colmare le principali lacune: mancanza o inefficienza dei controlli, scarso coinvolgimento degli operatori, mancanza di revisioni programmate e test di verifica. La ISO/IEC 27001 definisce le migliori pratiche riconosciute a livello internazionale per la gestione della sicurezza delle informazioni, fornendo un framework che ...

Reg. UE 679/2016: perché è stato promulgato e a che punto siamo in Italia

L’introduzione del regolamento UE 679/2016 Il Regolamento UE 2016/679 (General Data Protection Regulation), noto anche come Regolamento Generale sulla Protezione dei Dati (GDPR) entrato in vigore il 25 maggio 2018, è posto a presidio della protezione delle persone fisiche con specifico riguardo al trattamento e alla libera circolazione dei dati personali. La norma, vincolante per tutti gli Stati membri dell’Unione Europea, è frutto di diversi anni di lavoro da parte della Commissione Europea che ha inteso concretizzare due principali obiettivi, considerati di primario interesse: consentire ai cittadini degli Stati membri un controllo più penetrante sui propri dati personali e semplificare il quadro normativo di riferimento per tutte le imprese che gestiscono tali dati. Il Regolamento pubblicato nel 2016 ha sostituito la vecchia Direttiva UE (n. 45/1996) e, a differenza di quest’ultima, non necessita di una c.d. “legge di recepimento” da parte degli Stati ...

Data Breach: definizione GDPR, prevenzione e segnalazione

Cosa si intende per data breach, previsto dagli articoli 33 e 34 del Regolamento Generale sulla Protezione dei Dati (GDPR) Per data breach si intende la violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. Questa eventualità è prevista dagli articoli 33 e 34 del GDPR, che impongono ai titolari uno specifico obbligo di notifica di eventuali violazioni di dati. La notifica dovrà avvenire senza ingiustificato ritardo (ogni ritardo dovrà essere motivato) entro un termine di 72 ore dal momento in cui si è venuti a conoscenza della violazione, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. In quest’ultimo caso, ma anche ...

Decreto Legislativo 231/2001 e GDPR

I modelli di organizzazione, gestione e controllo 231 e la compliance in materia di privacy imposta dal GDPR: punti a contatto e divergenze insanabili. Il Decreto Legislativo 231/01 ha per la prima volta introdotto nell’ordinamento giuridico italiano il concetto di responsabilità amministrativa degli enti per i reati commessi nel loro interesse o vantaggio da soggetti che rivestono una posizione apicale nella struttura dell’ente o da soggetti sottoposti all’altrui direzione e vigilanza. La norma prevede espressamente che l’ente possa limitare o evitare l’addebito della responsabilità penale mediante l’adozione di un modello organizzativo idoneo a prevenire i reati della specie di quello che è stato commesso. Il D.Lgs. 231/2001 disciplina il contenuto dei modelli di organizzazione e di gestione il quale dovrà prevedere, tenuto conto dell’analisi delle fattispecie di reato ipotizzabili in relazione al contesto aziendale in esame: le ...

Cosa si intende per dati sensibili secondo il GDPR? Origini e tipologie.

La nuova categoria dei dati “particolari” e le tutele specifiche previste dal regolamento europeo. Con il Codice sulla Privacy, introdotto nella normativa italiana dal d.lgs 196/2003, entrava nel lessico giuridico il concetto di “dati sensibili”. Come è facile intuire, con questo termine venivano indicati quei dati che abbisognavano di una tutela rafforzata e che infatti potevano essere trattati solo con il consenso scritto dell\'interessato. Secondo il Codice del 2003, erano considerati sensibili quei dati personali in grado di rivelare: l\'origine razziale ed etnica di un individuo;le convinzioni e adesioni religiose, politiche e filosofiche;lo stato di salute e le abitudini sessuali di un soggetto. La nuova categoria dei “dati particolari” introdotta dall’art. 9 del GDPR: divieto generale di trattamento e deroghe specifiche L’art. 9 del GDPR introduce una nuova categoria, quella dei c.d. dati “particolari”, che ...

Cos’è e come si realizza il modello organizzativo privacy

Il rispetto del GDPR comporta la necessità per le aziende di documentare la compliance agli obblighi normativi nonché agli standard di sicurezza. Scopriamo insieme cosa si intende per modello organizzativo privacy. L’adeguamento al GDPR comporta l’adozione di misure adeguate ad assicurare che i trattamenti dei dati personali da parte dell’azienda siano conformi ai principi fondamentali in esso contenuti, così come delineati dall’articolo 5 GDPR. Nel contempo, il Regolamento impone al Titolare del trattamento anche l’obbligo di aggiornare le predette misure in modo tale che siano sempre conformi a tali principi. L’articolo 5, al secondo paragrafo prevede che “Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»)”. A questa disposizione si affianca il Considerando 74, a sua volta ripreso dall’articolo 24 GDPR, secondo il quale: “ il titolare del ...

Articolo 32 del GDPR: sicurezza del trattamento e misure tecnico-organizzative previste dalla normativa

Cambio di paradigma: il passaggio da un livello “minimo” ad un livello “adeguato” Il Regolamento UE 2016/679 segna una notevole rottura rispetto alla previgente normativa in materia di protezione dei dati personali per quanto attiene alla sicurezza dei dati personali. L’Allegato B del “vecchio” Codice Privacy prevedeva infatti l’elencazione di una serie di misure di sicurezza, volte a garantire un livello “minimo” di sicurezza (ad esempio: back-up a scadenza settimanale, l’aggiornamento delle patch dei vari software utilizzati e l’installazione e l’aggiornamento di un antivirus, l’utilizzo di password e altre). La nuova normativa europea, invece, ai sensi dell’articolo 32 GDPR, non prevede più un livello “minimo” di sicurezza, ma parla invece di “adeguatezza” delle misure di sicurezza tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, non stabilendo più una soglia sopra la quale il ...

Registro dei trattamenti: obbligo non solo per le grandi aziende

Scopriamo insieme cosa si intende per registro semplificato, chi può utilizzarlo e come deve essere aggiornato. L’articolo 30 del GDPR cita, tra le misure “tecniche e organizzative” che devono essere adottate a salvaguardia di principi contenuti nella norma, il registro dei trattamenti. Non tutti sanno che non solo le grandi organizzazioni (superiori ai 250 dipendenti) sono tenute a predisporre ed aggiornare un registro dei trattamenti. Stando a quanto stabilito dal Garante della privacy, infatti, il registro deve essere considerato un documento essenziale per dimostrare la propria accountability. Al di fuori dei casi di tenuta obbligatoria del registro, anche alla luce dell\'articolo 82 del GDPR, il Garante ne raccomanda la redazione a tutti i titolari e responsabili del trattamento, in quanto strumento che, fornendo piena contezza del tipo di trattamenti svolti, contribuisce a meglio attuare, con modalità semplici ...

Cookie policy e GDPR: come mettere in regola il proprio sito web aziendale

Il Regolamento UE ha imposto più rigore nel modo in cui i siti web possono usare i cookie e il monitoraggio online. Ecco come. Il Regolamento Generale sulla protezione dei dati personali n. 679/2016(conosciuto anche come GDPR),che disciplina la raccolta e il trattamento dei dati personali delle persone fisiche all\'interno dell\'UE,ha dato particolare rilievo alla tematica dei cookie per il tracciamento e il monitoraggio degli utenti on line. In base al GDPR, è responsabilità legale dei proprietari e degli operatori dei siti web assicurarsi che i dati personali vengano raccolti e trattati in modo legale e quindi, nonostante i cookie siano menzionati una sola volta nel testo del GDPR, la loro regolamentazione è comunque un pilastro della conformità per i siti web con utenti situati nell’Unione Europea. Ciò è dovuto al fatto che i cookie dei siti internet sono uno dei modi più ...

Il sistema di gestione per la sicurezza delle informazioni ISO/IEC 27001:2013

Scopriamo insieme come lo standard ISO/IEC 27001 può aiutare le imprese a conformarsi al GDPR. L’adozione di un sistema di gestione per la sicurezza delle informazioni è una decisione strategica per un’organizzazione. L’implementazione di tale sistema è influenzata dai bisogni dell’organizzazione e dagli obiettivi della stessa. La ISO/IEC 27001:2013 è il principale standard internazionale per la gestione della sicurezza delle informazioni e definisce le migliori pratiche riconosciute a livello internazionale per un sistema di gestione della sicurezza delle informazioni. Questo standard normativo è certificabile da un Ente di certificazione riconosciuto, ed è applicabile a tutti i tipi di organizzazione (pubbliche, private, non profit) di tutte le dimensioni e di tutti i settori industriali. Un sistema di gestione per la sicurezza delle informazioni, preserva la riservatezza, l’integrità e la disponibilità delle informazioni prevedendo un processo di ...

Data Protection Officer (DPO): cosa fa e in quali casi è obbligatorio?

Quali sono il ruolo e il profilo del DPO e come deve essere inquadrato secondo la normativa in materia di privacy. Il Data Protection Officer (spesso abbreviato con l’acronimo DPO) è una figura introdotta dal GDPR (Regolamento generale sulla protezione dei dati 2016/679), in particolare dall’articolo 37 del regolamento UE 2016/679. Il DPO è il responsabile per la protezione dei dati personali che l’azienda raccoglie, gestisce e tratta nell’ambito dell’attività di impresa. Secondo le intenzioni dei legislatori europei, il Data Protection Officer dovrebbe essere un consulente di alto livello dotato di poteri esecutivi, in grado di analizzare le modalità di contatto con dati personali da parte dell’azienda e le procedure di raccolta e stoccaggio dei medesimi. Il DPO dovrebbe essere in grado di consigliare e indirizzare l’operato del Titolare del Trattamento avendo come obiettivo principale ...

Cos’è il GDPR e quali obblighi e adempimenti comporta per le aziende?

Scopriamo le novità introdotte dal Regolamento Generale sulla Protezione dei Dati (GDPR) ed il loro impatto sulle imprese. Il Regolamento UE 2016/679 (General Data Protection Regulation), noto anche come Regolamento Generale sulla Protezione dei Dati (GDPR), diventato attuativo il 25 maggio 2018, è posto a presidio della protezione delle persone fisiche con specifico riguardo al trattamento e alla libera circolazione dei dati personali. La norma, vincolante per tutti gli Stati membri dell’Unione Europea, è frutto di diversi anni di lavoro da parte della Commissione Europea che ha inteso concretizzare due principali obiettivi, considerati di primario interesse: consentire ai cittadini degli Stati membri un controllo più penetrante sui propri dati personali e semplificare il quadro normativo di riferimento per tutte le imprese che gestiscono tali dati. Cos\'è il GDPR e quali sono le novità in tema di privacy? Il GDPR, strumento ...

I diritti degli interessati previsti dal GDPR

Il GDPR indica quali sono i diritti degli interessati rispetto al trattamento dei loro dati personali ed impone una serie di obblighi in capo al Titolare. Scopriamo insieme quali sono. Il Regolamento europeo 679/16 (GDPR) prevede che, in base alla finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento, le informazioni richieste dalle norme (art. 12 GDPR). A tal fine, l’art. 13 del GDPR impone, a carico delle aziende, l’obbligo di predisporre un’informativa e cioè una comunicazione rivolta all\'interessato che ha lo scopo di informare il cittadino, anche prima che diventi interessato (cioè prima che inizi il trattamento), sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento. È dovere del titolare del trattamento, infatti, di assicurare la trasparenza e la correttezza dei trattamenti fin dalla fase di progettazione dei trattamenti stessi ...

Che sanzioni prevede la non conformità al GDPR e quando scattano?

A quali rischi va incontro chi non si adegua alle norme contenute nel GDPR (Regolamento Generale sulla Protezione dei Dati). Le nuove sanzioni introdotte a livello europeo e la continuità con il Codice della Privacy del 2003. Il Regolamento UE 2016/679 (General Data Protection Regulation), noto anche come Regolamento Generale sulla Protezione dei Dati (GDPR), disciplina, agli articoli 83 e 84, le sanzioni da applicare in caso di violazione della normativa in materia di privacy. Quando si parla di violazioni, è necessario chiarire come il GDPR disciplini esclusivamente le sanzioni amministrative: il regolamento europeo stabilisce infatti, all’articolo 84, che ciascuno Stato disciplini autonomamente le sanzioni penali. Nel caso dell’Italia, infatti, si è scelto di mantenere in vigore le sanzioni penali già previste dal Codice della privacy, emanato nel 2003 e rivisto dal d. lgs. n. 101/2018. La nuova disciplina prevede che le sanzioni privacy possano arrivare fino ...

UK e GDPR: Brexit, protezione dei dati e conseguenze

Dal 1° gennaio 2021 il Regno Unito ha lasciato definitivamente l’Unione Europea e si è così completato il processo Brexit. A tal proposito, il Garante ha analizzato le conseguenze che questa uscita ha comportato in termini di protezione dei dati. Brexit e GDPR: le conseguenze Essendo diventato un Paese terzo, i flussi di dati verso il Regno Unito sono ora regolati dall’accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 fra Regno Unito e Unione europea, il quale prevede che il Regno Unito continui ad applicare il Regolamento europeo sulla protezione dei dati fino al 30 giugno 2021. Di conseguenza, in questo periodo qualsiasi comunicazione di dati personali verso il Regno Unito potrà avvenire secondo le medesime regole valevoli al 31 dicembre 2020 e non sarà considerata un trasferimento di dati verso un paese terzo. Sempre in ...

DPIA (Data Protection Impact Assessment): cos’è la valutazione d’impatto e quando è obbligatoria

Cosa si intende per Data Protection Impact Assessment (DPIA); come funziona la “valutazione d’impatto” e in quali casi è obbligatorio svolgerla. Al fine di garantire la tutela dei dati personali, il GDPR prescrive ai titolari del trattamento, in alcuni casi, l’obbligo di effettuare una valutazione dei rischi derivanti da violazioni, nonché delle possibili conseguenze. Questa valutazione, indicata all’interno del Regolamento europeo, prende il nome di “DPIA”, acronimo di Data Protection Impact Assessment, e indica la “valutazione d’impatto in caso di violazione della protezione dei dati”. Il DPIA è sostanzialmente valutazione preliminare dei rischi che corre un trattamento ogni qualvolta si verifichi una violazione delle misure di sicurezza dei dati. Questo tipo di valutazione dipende necessariamente dal grado di rischio per i diritti dei soggetti interessati dal trattamento, così come dipende dalle modalità con le quali il trattamento viene svolto (in particolare, dagli strumenti tecnologici utilizzati per il trattamento ...

Emergenza Covid-19 e protezione dei dati: come bilanciare interesse pubblico e privacy?

Il bilanciamento tra interesse pubblico e protezione dei dati personali: cosa devono fare le aziende per adeguarsi al GDPR nel fronteggiare il rischio epidemiologico? La diffusione del virus Covid-19 ha posto diversi interrogativi sulla tutela della privacy: raccolta e trattamento dei dati personali, sanitari ma non solo, sono infatti operazioni necessarie ai fini del contenimento della pandemia.Nessun dubbio che le operazioni di raccolta e trattamento possano (anzi debbano) essere poste in essere da soggetti sanitari ed istituzionali ai fini del contenimento dei contagi ma è legittimo che queste stesse attività vengano svolte da soggetti privati? Il Garante della Privacy, con una nota del 2 marzo 2020, aveva escluso questa possibilità affermando che: “i datori di lavoro devono astenersi dal raccogliere, a priori e in modo sistematico e generalizzato, anche attraverso specifiche richieste al singolo lavoratore o indagini ...

Cyber Security; l’importanza della consapevolezza*

*inserto ECONOMIA de \"la Gazzetta di Parma\" 7 dicembre 2020 LA PANDEMIA HA APERTO UNA FALLA «Da tempo lo stiamo dicendo, peraltro inascoltati – afferma Daniele Gombi Ceo Polaris Informatica e DataPro - la battaglia della Cyber Security va combattuta strutturalmente. Sicurezza informatica significa implementare in azienda un sistema di gestione complessivo dei dati che parta dalle strategie e arrivi agli strumenti adeguati di utilizzo, ai controlli e alla formazione delle persone. Questa strategia non è ancora statamessa in campo, mentre dall\'altra parte abbiamo il cosiddetto cybercrime, gli attaccanti, che sono molto bene organizzati e strutturati tecnologicamente. La pandemia ha aperto una falla consistente, una miriade di connessioni da remoto, spesso in modalità non sicura, con strumenti di fortuna semplici connessioni non protette. Ormai gli attacchi avvengono quasi totalmente (1\'85%) dall\'esterno dei sistemi.