Organizzarsi è prevenire

Organizzarsi è prevenire

OgranizzazioneSpesso il tempo impiegato per organizzare bene un’attività è visto come una perdita in questioni burocratiche. Fino a che non succede qualcosa…

Non neghiamolo: compliance, gestione del rischio e attività di controllo interne sono tutte cose che alla maggior parte degli imprenditori suonano come inutili perdite di tempo che producono scartoffie e burocrazia che non porta nessun vantaggio e nessun beneficio produttivo.

Questa credenza popolare spesso porta gli stessi soggetti a ritenere i consulenti come me e i miei colleghi soltanto degli artisti del documento, il cui unico compito è scrivere qualcosa che è dovuto per legge, solo perché così, con quel manufatto, si sentono al sicuro da eventuali sanzioni… Come se fosse un oggetto magico, insomma.

Quello che – ahimè – non capiscono, è che non è la carta ad avere il potere, ma il suo contenuto.

Un contenuto che è frutto di esperienza e lavoro, e che per essere efficace (e solo in secondo luogo efficiente) ha bisogno che si investa adeguatamente del tempo per fare in modo che abbia effetti sull’organizzazione aziendale.

Voglio offrirvi un esempio e mi limiterò a citare i fatti e a fare alcune considerazioni.

Un soggetto A, tempo fa mi contattò per richiedere assistenza in tema di protezione dei dati. La sua attività prevedeva (e prevede tutt’ora) tra le altre cose la raccolta e l’elaborazione di determinati dati personali.

In un’ottica di gestione del rischio e di prevenzione di eventuali reclami, suggerii di adottare una procedura per l’eventuale restituzione dei dati agli interessati, in modo che si potesse essere ragionevolmente sicuri di consegnarli soltanto a loro o a persone autorizzate.

All’epoca, il soggetto A mi disse che non era il caso, perché avrebbe portato via parecchio tempo e non sarebbe stato agevole per i suoi clienti.

Capita così che alcuni giorni fa un soggetto ignoto si presenti al soggetto A, identificandosi come un congiunto di un suo cliente, e facendosi consegnare le copie dei documenti di quest’ultimo. Il cliente, scoperto l’accaduto, si è – giustamente – arrabbiato parecchio.

Quanto è successo non è molto chiaro, però si possono fare due considerazioni:

  • C’è stata una sostituzione di persona, che ha indotto fraudolentemente il soggetto A ad agire come descritto.
  • C’è stata una violazione dei dati personali del cliente.

Sulla base di questo, si può certamente affermare che:

  • Se fosse stata adottata e applicata una procedura per la restituzione dei documenti, che prevedesse un’autorizzazione specifica e preventiva da parte dell’interessato o un altro sistema di delega da parte sua, questo tipo di violazione non si sarebbe verificato (o, almeno, non in questo modo).
  • La mancanza della procedura è stata, di fatto, una inadeguatezza delle misure organizzative di sicurezza. Fortunatamente si può escludere un risvolto penale (mi riferisco all’art. 167 del Codice, visto che si tratta di comunicazione o diffusione) perché la violazione non è stata commessa a vantaggio o nell’interesse del soggetto A, che dal suo punto di vista è stato raggirato.
  • Il soggetto A ha dovuto contattare il sottoscritto e altri specialisti per vedersi rassicurare e farsi consigliare al meglio su eventuali strategie difensive, preoccupato che potesse accadere qualcosa a livello legale.

Al di là di qualsiasi altra discussione, il messaggio che vorrei che passasse forte e chiaro è che i professionisti come me non servono a procurare alle imprese un prodotto cartaceo che serve (più o meno) in caso di emergenza. Il nostro scopo è consigliare la strategia migliore, considerato il contesto di riferimento, per applicare al meglio una disposizione di legge i cui effetti non sono discutibili, al contrario dei metodi per ottenerli.

Il metodo migliore è sempre lo stesso: organizzarsi.

Citando Machiavelli, il fine giustifica i mezzi. Ovviamente se non si investe sui mezzi (organizzazione adeguata), non ci si può aspettare di raggiungere il fine sperato (fare business in tranquillità).

Software gestionali per la privacy: benefici e rischi

Software gestionali per la privacy: benefici e rischi

Prima di procedere con l’acquisto, così come durante il suo utilizzo, sarebbe bene ricordarsi che un programma gestionale è solamente uno strumento che per rendere al meglio deve essere maneggiato con l’adeguata preparazione.

Capiamoci fin da subito: non sono contro i gestionali per partito preso, anzi, direi piuttosto che mi schiero con chi ritiene che le macchine non possono fare tutto e non possono sostituirsi all’uomo. Se è vero che avere un software apporta alcuni benefici, lo è altrettanto che espone chi lo usa a nuovi rischi.

Tralasciamo il fatto che non tutti i gestionali sono uguali e che possono comportare spese differenti in termini di acquisto della licenza, o investimenti per lo sviluppo interno, o canoni per l’assistenza, e che ovviamente possono offrire una qualità di servizio differente, e concentriamoci su alcuni (tutti è difficile farlo in questa sede) dei benefici e dei rischi che interessano prevalentemente il lato operativo della faccenda.

Tra i benefici penso si possano elencare una miglioria nella gestione complessiva degli adempimenti, una migliore organizzazione delle scadenze e una facilità di accesso a determinate informazioni sul modello organizzativo adottato per proteggere i dati personali.

In alcune realtà, potrebbe essere un valido strumento per la conduzione di audit o, comunque, per espletare alcuni dei controlli necessari, tra cui la valutazione di impatto sulla protezione dei dati (c.d. DPIA), e migliora senza dubbio gli effetti del lavoro di squadra e della collaborazione attiva, sempre più rilevanti e importanti nelle organizzazioni moderne, soprattutto se il suo impego non è limitato a poche persone chiave.

D’altro canto, i rischi sono comunque dietro l’angolo.

Innanzi tutto si rischia di sostituire completamente l’elemento umano, trasformando potenzialmente alcuni dei trattamenti da “manuali” a “automatizzati”, con tutto quanto ne consegue anche sotto l’aspetto della tutela dei diritti degli interessati.

Secondariamente, affidarsi troppo al software potrebbe allontanare dalla realtà effettiva dei fatti chi è incaricato di controllare il sistema, come i responsabili o i DPO. Se il software non funzionasse correttamente (e non è un’ipotesi da escludere a priori, visto che è prassi consolidata emettere patch o aggiornamenti per correggere anomalie o bachi) potrebbe avere effetti negativi sulla realtà percepita e, di conseguenza, sull’efficacia del controllo e della gestione complessiva.

Infine, basare il proprio operato esclusivamente sul gestionale per la privacy, genera un errore di fondo gravissimo (a mio parere) soprattutto in sede di valutazione d’impatto: procedendo solo con il software, non potremmo più parlare di “valutazione”, bensì dovremmo parlare di “misurazione”.

Il perché è presto detto: ogni realtà è differente e ognuna include necessariamente operatori (responsabili del trattamento, DPO, incaricati, IT manager…) differenti che hanno ognuno ciascuno un bagaglio di conoscenze ed esperienze diversi e di cui è doveroso tenerne conto in sede di valutazione che, oltre tutto, è di per sé un prodotto di queste conoscenze ed esperienze. Una valutazione è necessariamente soggettiva e deve essere relativa al contesto osservato, perché è sulla base delle sue caratteristiche e dei risultati della valutazione stessa, che il titolare del trattamento può mettersi nella condizione di essere adempiente alle norme vigenti, su tutte il GDPR, con particolare riferimento agli artt. 24, 25, 32 e 35, che richiedono tutti di tenere conto dell’ stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche i rischi gravanti sui diritti e le libertà degli interessati.

Tutto questo, senza scomodare la più recente giurisprudenza che è arrivata ad affermare che il concetto di dato personale, fortemente legato all’identificabilità anche indiretta della persona fisica a cui si riferiscono, è correlato anche alla “facilità” e all’impegno necessario per identificarla. Tradotto: se io scrivo Mario Rossi o John Smith, in questo testo e per coloro che lo leggono, sono quattro parole che di dato personale hanno ben poco.

Pensare di essere a posto con la privacy solo perché si è comprato un software per la sua gestione, è come salire su un’auto da F1 e pensare di poter vincere il GP di Montecarlo senza aver mai guidato quel mezzo, né mezzi simili, né essere mai stato in pista, né aver mai visto le strade di Montecarlo aperte al traffico.

Chi lo fa, è un pericolo per sé e per gli altri. Con l’aggravante di non essere pienamente consapevole di cosa significhi effettivamente occuparsi della protezione dei dati personali.

Slide sulla videosorveglianza

Slide sulla videosorveglianza

Un’utile pubblicazione per conoscere gli adempimenti previsti dalle norme che regolano la videosorveglianza, la privacy, il lavoro

Sul sito iCLHUB sono ora a disposizione le slide tecnico normative per i formatori sulla normativa e sulle procedure da attuare per la corretta videosorveglianza dei luoghi di lavoro. In allegato anche il vademecum per utenti e installatori.

Come esperto in materia di protezione dei dati personali, ho scelto di pubblicare sulla Libreria Digitale Pubblica dell’Associazione un pacchetto di slides tecniche in formato PDF, da utilizzare nei corsi sull’utilizzo in sicurezza della videosorveglianza (dei lavoratori, dei beni aziendali, dei processi produttivi…).

Nelle slide sono presenti tutti i riferimenti tecnico normativi (e relative istruzioni) al Nuovo Statuto dei Lavoratori, al Codice Privacy, alle sanzioni derivanti dal Codice Civile e Penale per un uso scorretto (nelle forme e nei modi) della videosorveglianza, con un focus particolare sul provvedimento sulla videosorveglianza del Garante.

A complemento, un secondo file (sempre in formato PDF) con un vademecum sui punti fondamentali della videosorveglianza dei diversi ambiti d’applicazione (lavoro, domestico, condominiale, sanitario…).

Il webmaster e la privacy

Il webmaster e la privacy.

Cose scomode che gli artigiani del web devono sapere.

Voglio raccontarvi un fatto realmente accaduto. Un fatto che, come a me, potrebbe essere capitato a molti miei colleghi che si occupano di privacy e che mi vede protagonista assieme a un mio amico webmaster (che per ovvie ragioni chiamerò Mario).

Eravamo seduti comodamente a prenderci un caffè e, tra una chiacchiera e l’altra, mentre gli raccontavo che è sempre preferibile scrivere un accordo con i propri clienti prima di iniziare qualsiasi progetto, lui fa una battuta dicendo:

<<Perché dovrei scrivere un contratto ogni volta che faccio un sito? Tanto non ho mica responsabilità, io>>.

In quel momento ho realizzato quanto fosse in pericolo. Sì, avete capito bene: in pericolo. Un pericolo che genera un rischio di conformità nei confronti della normativa sulla tutela dei dati personali e che espone quelli come Mario a pesanti sanzioni amministrative, civili e penali, oltre che all’ormai onnipresente danno d’immagine facilissimo da procurare con gli attuali media (tra cui proprio il web, ironia della sorte!).

Il webmaster (che spesso è chiamato anche a occuparsi delle campagne di marketing attraverso i siti che programma), per sua natura, è un lavoro che è caratterizzato da una grande libertà d’azione, proprio per via dell’ambiente in cui opera, Internet. Molto dell’efficacia delle loro opere è dovuta proprio alla facilità d’uso, alla libertà degli utenti di caricare, condividere, commentare, acquistare con un click. Tutto deve essere, come direbbero gli anglofoni, user friendly.

Per gli utenti, appunto.

Ma chi possiede un sito, e chi lo programma, per raggiungere il risultato che si sono prefissati devono attenersi a precise regole di comportamento, alcune richieste dal buonsenso (come la scelta di un provider che garantisca tempi di disaster recovery brevi), altre imposte da precise norme che vogliono soprattutto tutelare l’utilizzatore del sito, che per chi mastica un po’ di privacy si chiamano interessati.

Su tutti il Codice privacy, che impone l’adozione di misure di sicurezza sia a livello tecnico (per esempio le procedure di autenticazione informatica composte da userID e password univoci), richiamate anche dall’Allegato B, che a livello organizzativo (individuando i responsabili e gli incaricati del trattamento e i rispettivi ambiti operativi, obblighi e responsabilità). Un webmaster è, a tutti gli effetti, il responsabile dell’infrastruttura web dell’azienda e per questo motivo deve essere individuato in modo formale come amministratore di sistema (c.d. ADS o sistemista), che è una particolare forma di responsabile/incaricato.

Se io fossi il DPO dell’azienda cliente del mio amico Mario, gli farei sottoscrivere un preciso documento in cui dichiariamo i suoi obblighi e le sue libertà operative, individuando a priori quali siano gli interventi da fare sul sito (per esempio l’aggiornamento, la manutenzione, la programmazione dei cookie tecnici, analitici o di profilazione, di prima o di terza parte) e gli chiederei l’attestazione che quanto fatto sia conforme ai requisiti i legge richiesti, soprattutto se il suo progetto si conclude con la consegna del sito al committente.

Mario, alla fine del mio spiegone pieno di termini dal minaccioso suono legalese, mi ha domandato cosa dovrebbe fare per essere tutelato. In fondo, la parte che ha capito meglio e che ha attirato la sua attenzione, è stata quella relativa alle sanzioni (per il suo cliente e per lui) che potrebbero tradursi in richiesta di risarcimento per aver consegnato un lavoro non a regola d’arte: si andrebbe dai 36.000 € dell’informativa non idonea ai 120.000 € per le misure di sicurezza non adeguate, dai 120.000 € per un’omessa o inidonea notificazione al Garante in caso di cookie di profilazione ai 180.000 € per il mancato rispetto dei provvedimenti del Garante. E questo solo a livello amministrativo. Spostandoci nell’ambito delle sanzioni penali, Mario rischia molto probabilmente di essere punito con la reclusione fino a due anni per non aver implementato le dovute misure di sicurezza; sempre che non si sia preso il compito di effettuare la notificazione al Garante, e che l’Autorità non abbia poi constatato che questa fosse falsa: in tal caso, gli anni di reclusione sarebbero tre.

La mia risposta è stata semplice: <<Metti tutto per iscritto. Organizzati prima. Previeni.>>

Dopo queste mie parole mi è sembrato preoccupato. Di sicuro non ha voglia di rischiare così tanto.

Cosa gli serve? Facile. Un amico come me. Un consulente privacy.

Le misure minime di sicurezza del Codice privacy

Allegato B del Codice privacy: cosa significano le sue regole?

Molti sanno che la protezione dei dati personali (o privacy) in Italia, è normata dal Decreto legislativo 196/2003, conosciuto ai più come Codice privacy. Pochi, purtroppo, sanno che il Codice è completato da alcuni allegati.

Tra questi, l’Allegato B è quello che è di interesse più generale, in quanto gli altri si riferiscono esplicitamente a determinati settori di attività. La mancata applicazione delle misure minime di sicurezza comporta sanzioni amministrative e penali, che si traducono in multe salate, spese per i procedimenti processuali e, in alcuni casi, la reclusione.

L’Allegato B, con le sue 29 regole, pone le basi per assicurare le misure minime di sicurezza che ogni organizzazione deve adottare per garantire la protezione di una delle più preziose risorse strategiche che un’azienda possa avere a disposizione: i dati personali che quotidianamente tratta durante la sua attività. Esse sono diverse a seconda che il trattamento sia effettuato con o senza l’impiego di strumenti elettronici (PC, tablet, smartphone, sistemi di videosorveglianza…). Vediamole insieme.

Il sistema di autenticazione elettronica.

Le prime undici regole riguardano il trattamento con strumenti elettronici e indicano i criteri per un efficace sistema di autenticazione elettronica, ossia il procedimento con cui l’operatore assicura la propria identità al sistema informatico. In pratica è quello che si fa ogni volta che si decide di accedere a Gmail, o alle proprie pagine personali sui siti di e-commerce, per esempio.

Innanzi tutto, il titolare del trattamento deve identificare gli incaricati e deve determinare a priori il loro ambito di operatività, ossia decidere quali dati sia autorizzato a trattare.

Questi incaricati dovranno avere ognuno le proprie credenziali di autenticazione, costituite da un codice identificativo (per esempio il nominativo dell’incaricato, o il suo numero di matricola) e da una password. Alternativamente, si può utilizzare un dispositivo di autenticazione che deve essere detenuto e usato esclusivamente dall’incaricato (per esempio un token o una tessera magnetica) o tecniche di autenticazione biometrica (per esempio le impronte digitali o la scansione retinica o vocale), associato a un’eventuale password o codice identificativo. La prima è una soluzione che usiamo correntemente per effettuare operazioni di internet banking o per prelevare denaro dai distributori bancomat, mentre la seconda è più facile trovarla in ambiti in cui è richiesto un elevato livello di sicurezza.

Per quanto riguarda il codice identificativo, questo deve essere associato solo ed esclusivamente a un singolo incaricato e non è necessario che sia segreto. Ciò significa che un codice non potrà mai essere assegnato a più di una persona, nemmeno in momenti o in ambiti differenti.

Viceversa, ogni password deve essere mantenuta segreta e, se il sistema lo permette (dal punto di vista tecnologico), deve essere formata da almeno 8 caratteri, magari utilizzando lettere maiuscole e minuscole, numeri e caratteri speciali. Di sicuro la parola chiave non deve avere collegamenti diretti con l’interessato e non deve essere troppo intuibile o banale: per esempio, scegliere “P@55w0rd” è una soluzione soddisfacente dal punto di vista del numero e tipo di caratteri, ma è palesemente troppo scontata. La password, infine, deve essere immediatamente modificata al primo utilizzo (la prima password, solitamente, è scelta dall’amministratore di sistema) e successivamente, con cadenza almeno semestrale.

Le credenziali di autenticazione devono essere disattivate se inutilizzate da almeno sei mesi o se l’incaricato perde i requisiti su cui si fonda la sua designazione da parte del titolare (per esempio una variazione delle sue mansioni o un licenziamento).

E in caso di necessità o prolungata assenza dell’incaricato, come si fa? È importante notare che, sebbene le credenziali di autenticazione siano e debbano essere segrete e personali, in caso di prolungata assenza o esclusivamente per ragioni di sicurezza e operatività del sistema informatico, il titolare è legittimato a forzare la procedura utilizzando le credenziali di qualcun altro. Per farlo, è necessario che si prendano le idonee misure di sicurezza nominando un custode delle password e inserendo una copia delle parola chiave all’interno di una busta sigillata e tenuta sotto chiave.

Il sistema di autorizzazione.

Oltre al sistema di autenticazione (che serve all’incaricato per farsi riconoscere dal sistema informatico) il titolare deve adottare anche un sistema di autorizzazione, che limiti l’operatività dei singoli incaricati sui dati personali, con criteri stabiliti precedentemente alla loro nomina e che siano in linea con le finalità per cui i dati sono trattati nelle singole attività. Queste regole si rifanno concretamente al principio di separazione dei compiti (in inglese segregation of duties, conosciuta con l’acronimo SOD) richiamate anche dalle norme ISO. Queste regole vanno dalla 12 alla 14.

Lo scopo è quello di assicurare che ogni ambito di trattamento abbia un diverso profilo di autorizzazione, in modo che l’accesso ai dati compiuto dei singoli incaricati sia limitato solo ed esclusivamente a quelli necessari per espletare il loro compito. In tale ottica, il sistema può essere profilato su ciascun incaricato (per esempio l’amministratore delegato, il direttore generale, l’internal auditor o l’amministratore di sistema) o per classi omogenee di incaricati (per esempio tutti gli incaricati dell’Assistenza clienti, tutti gli incaricati dell’Ufficio Marketing, tutti gli incaricati dell’Ufficio risorse umane…).

Tali profili di autorizzazione, similarmente alle credenziali di autenticazione, devono essere periodicamente rivisti e verificati, in modo da intervenire confermando, modificando o eliminando i profili già determinati o creandone di nuovi, secondo le necessità.

In molte realtà il sistema di autorizzazione è presente ed è una caratteristica intrinseca dei loro software gestionali.

Altre misure di sicurezza.

Oltre a quelle di tipo organizzativo, l’Allegato B impone l’adozione di misure di sicurezza a livello tecnico, attraverso l’impiego di soluzioni antimalware e di protezione in generale, che garantiscano la protezione, il ripristino o l’accesso ai dati. Si fa riferimento alle regole dalla 15 alla 18.

Sono misure idonee a questi scopi, per esempio, i software antivirus, antispyware o firewall; soluzioni hardware come i proxy server; salvataggio completo dei dati (back-up).

Ovviamente, ciascuna delle soluzioni adottate deve essere mantenuta efficace e aggiornata con cadenza periodica, secondo le evoluzioni della tecnologia disponibile al momento.

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari.

Le regole dalla 20 alla 24, rafforzano quanto già detto nelle precedenti, avendo come specifico oggetto i dati personali sensibili o giudiziari.

Tra esse, spiccano l’obbligo di limitare l’accesso ai dati contenuti su supporti mobili in modo da impedire trattamenti non autorizzati (per esempio utilizzando memorie esterne crittografate o protette da un sistema di autenticazione) e gli obblighi specifici per gli esercenti le professioni sanitarie, che devono adottare misure tali per cui i dati identificativi siano trattati disgiuntamente da quelli sensibili.

Le misure di tutela e di garanzia.

La regola 25 impone la collaborazione dei soggetti esterni alla struttura del titolare, a cui sono affidati lavori inerenti una qualsiasi misura di sicurezza. Questi soggetti devono fornire idonee garanzie al titolare, attraverso una descrizione scritta dell’intervento che hanno realizzato e che sia in grado di attestarne la conformità alle regole dell’Allegato B.

Questo punto è molto importante nei casi in cui si installino impianti di videosorveglianza, o quando ci si avvale di un tecnico esterno per la manutenzione e la programmazione dei propri computer o della propria rete informatica.

I trattamenti compiuti senza l’ausilio di strumenti elettronici.

Le ultime tre regole, dalla 27 alla 29, disciplinano le modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell’incaricato, in caso di trattamento con strumenti diversi da quelli elettronici come, per esempio, moduli cartacei, archivi fisici, fotografie…

Innanzi tutto, agli incaricati devono essere impartite chiare istruzioni scritte, finalizzate al controllo ed alla custodia degli atti e dei documenti che contengono dati personali. Anche in questo caso, è necessario definire preventivamente un sistema di autorizzazione, da aggiornare con cadenza almeno annuale, che individui precisamente l’ambito del trattamento consentito ai singoli incaricati. Come visto già precedentemente, il sistema di autorizzazione può prevedere classi omogenee di incarico e dei relativi profili di autorizzazione; inoltre, sarà necessario predisporre una lista che indichi i singoli incaricati e il relativo ambito di autorizzazione.

Inoltre, nel caso in cui i documenti contenenti dati personali sensibili o giudiziari siano affidati agli incaricati del trattamento per lo svolgimento dei relativi compiti, essi devono controllarli e custodirli fino alla restituzione in maniera che a quelle informazioni sia impedito l’accesso a persone prive di autorizzazione.

Infine, l’accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato. In particolare, è necessario che tutti coloro che vi accedono dopo l’orario di chiusura (per esempio gli addetti alle pulizie o i manutentori) siano identificati e registrati. In questo caso, è possibile avvalersi di personale per la vigilanza, oppure di un sistema elettronico per il controllo degli accessi.

Conclusioni.

Ma allora, concretamente, di cosa ha bisogno un’organizzazione per essere conforme alla normativa?

Sinteticamente, deve seguire pochi ma importanti accorgimenti:

  1. Deve avere un sistema documentato di policy sul trattamento dei dati, che discende da un’adeguata organizzazione che identifica chiaramente il titolare, i responsabili, gli incaricati e gli amministratori di sistema;
  2. Deve pensare prima di cominciare il trattamento dei dati al perché li deve o li vuole trattare e da chi li vuole far trattare;
  3. Deve garantire che gli strumenti e le persone siano sempre aggiornati in modo da garantire la massima efficacia della protezione;
  4. Deve permettere il ripristino dei dati nel più breve tempo possibile attraverso un sistema di back-up.
  5. Deve scegliere con cura i propri collaboratori esterni e i fornitori che possono entrare in contatto, anche accidentalmente, con i dati personali.
  6. Dovrebbe garantirsi un costante ed efficace controllo sull’argomento, attraverso risorse interne e/o affidandosi alle competenze di un consulente esperto in materia.