logo

Tag : gdpr avellino

04 Gen 2019

Cloud Computing

Con il termine Cloud Computing si intende ” nuvola informatica” o per meglio dire un set di tecnologie e modelli di servizi basati sull’uso di Internet per processare dati, archiviarli ,gestirli e trasmetterli.

Uno dei vantaggi del Cloud Computing è la disponibilità on demand di varie risorse configurabili per adeguarle volta per volta alle prestazioni richieste.

Tra le caratteristiche/vantaggi che questi sistemi offrono:

  • Larga gamma di accessi al sistema di network;
  • Rapidità  ed elasticità  nell’utilizzo degli accessi e dei servizi;
  • Utilizzabilità on demand da parte di tutti gli utenti;
  • Condivisione delle risorse;
  • Ottimizzazione dei servizi richiesti

Oltre alle varie caratteristiche  esistono anche modelli differenti di servizi offerti dal Cloud:

SaaS – Software as a Service Il consumer utilizza le applicazioni cosi come offerti dal Computer Service Provider (CSP);

PaaS – Platform as a Service. Il consumer elabora programmi e applicazioni con il limite di dover utilizzare il linguaggio della macchina, le librerie, e i tools messi a disposizione dal Computer Service Provider (CSP);

IaaS – Infrastructure as a Service. Il consumer può utilizzare i propri software con sistemi operativi e applicazioni.Ovviamente la struttura del sistema non può essere modificata.

4 modelli organizzativi :

Il Cloud computing privato =Paradigma di strutture e di risorse organizzate da un soggetto privato per una pluralità di utenti;

Il Cloud di comunità = Struttura Cloud messa  a disposizione  per un gruppo specifico di consumers

Il Cloud pubblico= Struttura con l’organizzatore soggetto pubblico e utilizzato o posseduto da imprese pubbliche, strutture accademiche o di ricerca o anche da un complesso di questi soggetti.

Hybrid Cloud =Connessione di due o più sistemi Cloud diversi, operati da privati o soggetti pubblici.


Quali sono i vantaggi economici del Cloud?

La tecnologia Cloud in tutti i suoi modelli organizzativi e in tutte le caratteristiche, rappresenta dei notevoli vantaggi economici. L’idea alla base della costruzione del Cloud europeo è legata molto all’obiettivo di sviluppare il cosidetto European Open Source Science Cloud.

 

 

GDPR e Cloud
Il GDPR come per il Cloud è orientato a favorire la messa in comune dei dati e delle informazioni , in condizioni di sicurezza  e in sistemi di interoperabilità che facilitano non solo l’uso condiviso dei dati pubblici e soprattutto di quelli finalizzati alla ricerca e  alla conoscenza.
Il GDPR ha norme dichiaratamente finalizzate ad incrementare la circolazione dei dati e la pluralità delle finalità per cui essi possano essere trattati

Definiamo di seguito alcuni principi chiave per l’utilizzo del Cloud in rispetto  al GDPR:

  • Localizzazione dei server e delle infrastrutture,
  • Il Controller devono avere una piena conoscenza del sistema di governance che regola i diversi tipi di Cloud.
  • Prima di stipulare il contratto è indispensabile accertarsi che il fornitore del sistema, e il sistema stesso, siano perfettamente compliance col GDPR.

netpharos segue sin dalle prime fase un’azienda o un ente pubblico  per la conformità al GDPR , nelle province di Avellino, Benevento, Caserta, Napoli e Salerno.

24 Ago 2018

Per quanto la normativa Europea per alcuni possa risultare noiosa e complicata, permette anche ad un azienda di trarre dei benefici.Si genera fiducia notevole nei confronti dell’azienda, perché coloro che decidono di affidarsi ad un’azienda compliance GDPR, sa di sicuro quale uso verrà fatto dei  propri dati , come verranno raccolti e catalogati, gestendo l’uso dei dati stessi solo per determinate condizioni specifiche e nel rispetto dell’intero quadro normativo(diritto di cancellazione, di rettifica etc)

Il cliente è conscio che ha maggiore tutela della sua privacy e sicurezza in termini di dati personali e più controllo per un’esperienza di acquisto.

 

 

Clienti sicuri,Clienti realmente interessati,Clienti motivati

 

 

 

Nel mondo del Social Media Marketing  si distinguono due aspetti:

  • Post organici
  • Post sponsorizzati

I post organici rappresentano le attività svolte nei social network senza nessun investimento di denaro. Si basa tutto sull’algoritmo dei vari Social Network che vanno ad assegnare una maggiore  o minore visibilità al post in base ad una serie di fattori.

Un’altro elemento di cui si tiene conto nell’utilizzo di questa tipologia di post, sono le relazioni dirette con gli utenti e sviluppate nella micro community che si vengono a formare, unendo utenti che hanno interessi in comune.
Se decidiamo di utilizzare questa tipologia di post ed essere in linea con il GDPR , dobbiamo prestare attenzione a :

  • Non esportare dati dei followers;
  • Inserire il consenso all’interno del sito web (se si utilizzano gli stessi social per generare traffico al’interno del sito web o blog);

I post sponsorizzati, advertising a pagamento, utilizzano strumenti predisposti dai social network per raggiungere in modo rapido e mirato un pubblico particolare, rispetto a brand,prodotti o interessi.

Ovvio che questo metodo risulta essere il più efficace in quanto essendo il post “targettizzato”, chiude il range di interesse e inserisce solo utenti realmente interessati.

I post organici non garantiscono visibilità sufficiente e  le piattaforme Social tendono a monetizzare il più possibile e a spingere le aziende a investire in pubblicità.

Non bisogna sottovalutare la questione, perché a pagamento o non, i post devono essere sempre di qualità, ricchi di interazioni e contenuti.

Bisogna creare contenuti con logiche di comunicazione, affinché l’utente recepisca in modo positivo le informazioni che vengono inserite.

netpharos da anni segue le aziende nella gestione dei Social Network e negli ultimi due anni ,nelle procedure di compliance al GDPR nelle province di Avellino, Benevento, Caserta, Napoli e Salerno

 

07 Ago 2018

Quali sono i ruoli del Titolare del Trattamento.
Il Titolare del Trattamento è la persona fisica o giuridica,l’autorità pubblica, il servizio o altro organismo che determina le finalità e i mezzi del trattamento di dati personali.
Abbiamo più volte visto come il Garante Privacy, pone una forte attenzione sul principio di Accountability, Responsabilizzazione, ovvero nella scelta di comportamenti proattivi  tali da dimostrare che è stata adottata una concreta e valida misura di sicurezza per assicurare l’applicazione del Regolamento.


Cosa dice il Regolamento?

In modo chiaro ed esaustivo nell’art.24,paragrafo 1, il Regolamento Europeo dice che spetta al Titolare mettere in atto tecniche e misure organizzative compliance, e non al DPO.

 

Tra i compiti del Titolare dei dati personali, possiamo elencare:

    • Predisposizione di un adeguato sistema di gestione privacy predisponendo quindi:

      1. Data protection by default and by design
      2. Registro della attività di trattamento (art.30)

a.Configurazione di criteri specifici impostati fin dall’inizio per la soddisfazione dei criteri del Regolamento

b. Il registro delle attività è  uno strumento fondamentale, usato dal Garante come supervisione ma è anche il sistema che permette di tener aggiornati tutti i trattamenti presenti all’interno dell’azienda o in un organismo pubblico. Indispensabile in caso di data breach e la valutazione e analisi del rischio.

I tempi di comunicazione delle violazioni devono avvenire nell’arco delle 72 ore e senza ingiustificato ritardo ad eccezione nel caso in cui il Titolare è in grado di dimostrare che la violazione non comporti un danno grave per i diritti e  le libertà delle persone fisiche.

Il titolare del trattamento deve quindi avere la capacità di attuare e scegliere  i comportamenti proattivi capaci di gestire il rischio e di evitare impatti negativi sulla libertà di ognuno

netpharos segue sin dalle prime fase un’azienda o un ente pubblico  per la conformità al GDPR , nelle province di Avellino, Benevento, Caserta, Napoli e Salerno.

24 Lug 2018

Il titolare e il responsabile del trattamento dei dati, devono mettere in atto una serie di misure tecniche che garantiscono un livello di sicurezza adeguato al rischio, misure valutate e applicate in base alla tipologia di azienda e alla tipologia di dati che tratta.

 


Il corpus normativo del GDPR è molto complesso e articolato e va a modificare radicalmente quello che è il concetto attuale di privacy. Basandosi sul principio di Accountability, l’approccio che hanno avuto le aziende è stato abbastanza complesso, in quanto la chiave di lettura sembra essere personale, anche se così ovviamente non è.

Bisogna  capire da quali rischi bisogna proteggere i dati che vengono trattati e quali e  quanti dati proteggere in base a livelli di priorità.

Uno degli elementi importanti è la protezione degli accessi in quanto la cifratura dei dati è una tra le minacce possibili contro le infrastrutture. Possono esserci accessi non autorizzati  che possono provocare, se non tenuti a bada, danni gravi e anche irreparabili.


Ma cosa si intende per controllo Accessi?

Si intende un sottosistema di sicurezza che si occupa di controllare varchi e porte, attraverso l’uso di apparati elettronici chiamati lettori di badge o lettori biometrici. Tale elemento non si intrinseca solo con la sicurezza ma viene anche utilizzato per verificare l’ora di ingresso e di uscita dei dipendenti.
Viene abitualmente utilizzato per proteggere le aree dove sono installate le “macchine” e dove i dipendenti lavorano.Ovvio che a tale sistema, vanno sempre aggiunti impianti di antintrusione, antifurto e videosorveglianza.
Ricordiamoci che il GDPR, in fase di controlli e ispezioni, prevede che venga dimostrato che tali elementi sono in utilizzo.

Prima di iniziare ad utilizzare un sistema di controllo di accessi dobbiamo porci delle domande:

  • Quali sono i luoghi in cui si effettua il trattamento (CED, archivi cartacei e digitali etc…)
  • Quali sono i varchi e il loro perimetro
  • Chi sono coloro che transitano in tali zone ( dipendenti, clienti, fornitori etc…)

Come funziona il controllo accessi

Ad ogni dipendente/utente viene assegnata una credenziale tipo:

  • Pin
  • Card
  • Transponder
  • Altro

Vengono quindi associati dei diritti di accesso, dove può accedere e quando. Se l’esito è positivo l’utente passa e raggiunge il luogo desiderato e ogni passo viene regolarmente memorizzato, ciò permette di avere storicità che potrebbe essere utilizzata in caso di violazioni.

Tenendo conto del Regolamento, bisogna dire che un sistema elettronico di questo tipo contiene e tratta dati personali quindi deve essere GDPR compliance.

Vengono infatti conservate informazioni anagrafiche e spesso dati sensibili, inoltre essendo spesso utilizzato anche per la rilevazione delle presenze di lavoro e la gestione del personale stesso, alcuni dati sono anche sensibili.

Il dubbio che quindi viene è.

  1. E’ necessario il consenso da parte dei dipendenti/utenti?

No, in quanto il trattamento dei dati avviene nell’ambito del rapporto di lavoro ( Risposta ampiamente contenuta nell’Art.6 pag 83 del link)

https://www.garanteprivacy.it/documents/10160/0/Regolamento+UE+2016+679.+Con+riferimenti+ai+considerando


Molto spesso i sistemi di controllo di accesso, sfruttano la biometria per identificare il personale e foto. 

  1. Possono questi dati essere oggetto di trattamento?

Si può utilizzare la biometria secondo le prescrizioni impartite dal Garante ( opportunità, proporzionalità etc…)

( Risposta ampiamente contenuta nell art. 9 c. 2 lett. b pag 86  ) “Trattamento di categorie particolari di dati personali”

https://www.garanteprivacy.it/documents/10160/0/Regolamento+UE+2016+679.+Con+riferimenti+ai+considerando

28 Mag 2018

Nonostante in questi ultimi mesi (anche se il tutto è partito il 26/05/2016) si sia parlato in modo costante e continuativo sull’argomento GDPR, molte aziende non  hanno ancora preso in considerazione la questione e non si sono ancora adeguate per evitare le sanzioni, anche molto alte, previste in caso di violazione. Si potrebbe dire che, forse, uno dei principali problemi è che non è ancora chiaro a tutti ,quali sono i principali elementi ai quali dedicare maggiore attenzione e soprattutto comprendere quanto sia fondamentale la presenza di figure professionali sulle quali far riferimento, per essere certi di compiere ogni azione nel rispetto  e nella conformità del Regolamento.
Di certo non sarà il principio di Accountability a mettere tutti a riparo da scelte o mosse sbagliate, il concetto è basato sulla responsabilizzazione  ma ciò non è sinonimo di irresponsabilità.

Ci sono tanti dubbi su come e chi deve fare cosa. Partiamo dal principio e una riga dell’ L‘articolo 3 chiarisce perfettamente uno dei  concetti in questo modo “questo Regolamento si applica al trattamento dei dati personali dei soggetti interessati presenti nell’UE

Alcuni dei  punti sui quali bisognerà lavorare c’è sicuramente la necessità di rendere anonimi i dati , con processi crittografati per proteggere la privacy dei clienti. Inoltre per essere perfettamente allineati con il punto 26 del Regolamento, i dati che verranno resi anonimi dovranno impossibilitare la visualizzazione di ogni dettaglio sull’individuo. Violazioni segnalate entro le 72 ore ( Data Breach),  processo di Privacy By Design e Privacy By Default, la cancellazione e la portabilità dei dati ecco altri dei punti che abbiamo segnalato più volte e che devono essere monitorati, applicati e aggiornati.

Ma ciò che ha più spaventato le aziende, sono sicuramente le sanzioni  in merito a questo ci sono buone notizie ovvero saranno proporzionate e non emesse per ciascuna violazione.

Per comprendere bene questo punto, possiamo sfruttare un espressione utilizzata dall’Autorità di controllo del Regno Unito, Elizabeth Denham “Tell everyone, say it quickly, tell the truth” – “Dillo a tutti, dillo velocemente, dì la verità.”

In buona sostanza dobbiamo fare di tutto per garantire che i rischi siano ridotti al minimo e che le attività come ad esempio gli aggiornamenti e la manutenzione di ogni sistema permetta di mantenere l’azienda protetta. Assicuriamoci che il team operativo della Nostra azienda effettui in modo regolare test e effettui  procedure idonee in caso di violazione

Responsabilizzazione-Formazione- Conformità

 

 

23 Mag 2018

“Gdpr, Garante privacy: nessuna pronuncia su differimento applicazione sanzioni Con riferimento a notizie circolanti in Internet è necessario precisare che non è vero che il Garante per la protezione dei dati si sia pronunciato sul differimento dello svolgimento delle funzioni ispettive e sanzionatorie  né il provvedimento richiamato nei siti attiene a tale materia.
Nessun provvedimento del Garante, peraltro, potrebbe incidere sulla data di entrata in vigore del Regolamento europeo fissata al 25 maggio 2018.Roma, 19 aprile 2018″  Testo dal sito garanteprivacy.it

Manca davvero poco e molti avranno,oramai, letto tutto o solo qualche riga del Regolamento Europeo 679/2016 .  Il Regolamento si basa sul   principio della Accountability/Responsabilizzazione quindi ogni azienda dovrà fare le proprie valutazioni che non rispecchiano nessuno standard specifico.Si deve quindi prima valutare il rischio per poi mettere in atto il piano di difesa.

Per poter  “Essere conformi”,  come prima cosa va analizzata la tipologia di Dati che l’azienda/Privato tratta

DPIA – DATA PROTECTION IMPACT ASSESSMENT

Step 1  Analisi di contesto

Step 2 Analizzare i Principi Fondamentali

Step 3 Analizzare i rischi e realizzare una panoramica degli stessi

Step 4 Studiare un piano d’azione

Dopo i passaggi della DPIA,si procede STABILENDO UN PIANO D’AZIONE  attraverso la visualizzazione della mappatura del rischio.

Il piano d’azione deve essere scelto in modo analitico,garantendo la Protezione del Dato in ogni suo aspetto.

La Netpharos può seguirti in questa nuova rivoluzione copernicana, garantendoti assistenza e preparazione sul nuovo Regolamento per salvaguardare la tua azienda e i tuoi dati.

In virtù del nuovo regolamento sulla protezione dei dati GDPR possiamo fornire “gratuitamente” una consulenza sugli adempimenti previsti dalla nuova normativa Europea per le Province di Avellino, Benevento, Salerno, Caserta e Napoli.

Chiamaci per avere maggiori informazioni!  0825.1686025

 

 

 

 

16 Mag 2018

Regolamento Europeo (GDPR Reg. UE 2016/679)

Uno dei principi base del nuovo Regolamento Europeo è portare tutte le organizzazione ad affrontare il tema della conformità con una continua valutazione del rischio.

Si presuppone che ogni azienda abbia già avuto,prima del GDPR, un approccio sia cartaceo che burocratico sulla sicurezza dei dati ma senza ombra di dubbio il GDPR, obbliga le organizzazioni a rivedere l’approccio adottato fino ad ora basando il tutto sul concetto di Responsabilizzazione-Accountability.

Tale concetto potrebbe mettere in  difficoltà molte aziende, in quanto il Regolamento non dice cosa bisogna fare, ma ci dice , cercando di sintetizzare   “ Fai tutto quello che serve per proteggere i dati”, quindi ogni azienda deve valutare i propri dati, la metodologia di trattamento, eventuali rischi ed eventuali soluzioni.

Gli strumenti  innovativi  che tutte le aziende ormai utilizzano  sono sempre più sofisticati ma ciò comporta anche una maggiore esposizione al rischio e alla perdita dei dati stessi,  basti pensare al mondo Cloud e alle compliance di sicurezze connesse, alla diffusione di dispositivi biometrici, grafo metrici, alla profilazione. Ogni modello va studiato con attenzione e valutarli bilanciando i benefici e gli eventuali rischi.

Ogni sistema come ad esempio la videosorveglianza, controllo accessi e i sistemi di allarme, può rispondere ai cambiamenti richiesti dal GDPR con l’implementazione del modello privacy. Il primo passo e il processo della DPIA (Data Protection Impact Assessment), ovvero la valutazione d’impatto ( art.35 del GDPR).

 

In cosa consiste una DPIA?

Tale procedura consiste nella finalizzazione di descrizione del trattamento con annesse valutazione di necessità e proporzionalità, per poter gestire rischi e diritti e le libertà delle persone dalle quali derivano i trattamenti dei loro dati personali.

Per l’Art. 35 (3) del GDPR la DPIA  è richiesta nel caso di “…sorveglianza sistematica su larga scala di una zona accessibile al pubblico”.

Non bisogna solo guardare agli impatti di Data Breach ma anche ai rischi intrinsechi del Trattamento stesso andando ad ampliare l’analisi al compliance risk e ai rischi relativi all’organizzazione.

 

L’obiettivo è quello di identificare le azioni per contrastare i rischi, riducendo il rischio ad un livello accettabile (privacy by design) e ha come output quello di stabilire un piano di azioni, atte a contrastare  le eventuali problematiche che potrebbero essere causate da eventuali perdite e cattiva gestione dei dati.

Per avere maggiori informaci, contattaci senza  nessun impegno!