logo

Tag : gdpr

04 Gen 2019

La Circolare N°5 dell’INL del 19 Febbraio del 2018 , firmata dal Capo dell’Ispettorato del Lavoro fornisce indicazioni operative sull’installazione e utilizzo degli impianti audiovisivi e degli strumenti di controllo.

Tutelare la dignità e la riservatezza dei lavoratori è uno dei punti di unione della circolare, ma anche soddisfare l’esigenza di monitorare la produzione in un azienda o garantire la sicurezza urbana/cittadina

L’ispettorato definisce e chiarisce  che l’istruttoria delle istanze non deve coinvolgere aspetti tecnici particolari, non c’è variazione sull’interesse per cui si installa il sistema di videosorveglianza per cui l’attività di controllo è legittima se strettamente funzionale alla tutela dell’interesse dichiarato.

Tutela del patrimonio aziendale

In materia di tutela del patrimonio aziendale, la circolazione pone l’attenzione su due casi:

-Impianto antifurto;

-Dispositivi connessi durante gli orari lavorativi, per tanto in presenza dei lavoratori.

Date le novità introdotte dalla tecnologia in materia di videosorveglianza,la circolare chiarisce che “l’accesso da postazione remota alle immagini in tempo reale deve essere autorizzato solo in casi eccezionali debitamente motivati”.
Si presta particolare attenzione alle zone esterne all’azienda come le aree di carico e scarico merci dove la Corte di Cassazione penale viene in aiuto con la sentenza n.1490/1986 che prevede la preventiva autorizzazione da uno specifico accordo.
Il riconoscimento biometrico è ritenuto valido per l’accesso ad aree e locali ritenuti sensibili, in cui è necessario assicurare elevati e specifici livelli di sicurezza oppure consentire l’utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati e specificatamente addetti alle attività ai sensi del comma 2dell’art.4 della L.n.300/1970.

Settori di particolare interesse
-Sicurezza urbana
-Sistemi integrati
-Sistemi intelligenti
-Violazione al codice della strada
-Deposito rifiuti
-Luoghi di lavoro
-Ospedali e luoghi di cura
-Istituti scolastici
-Taxi
-Trasporto pubblico
-Webcam a scopo turistico
-Tutela delle persone e della proprietà

Novità introdotte dal GDPR

  • Rispetto dei principi di adeguatezzatrasparenza e pertinenza, che si aggiungono ai previgenti principi di liceitànecessitàproporzionalità e finalità, determinabili a seconda del caso specifico;
  • Recepimento delle necessarie autorizzazioni a norma di legge, con tutto ciò che ne consegue a livello di adempimenti normativi (accordi sindacali et al.) e non solo.
  • Somministrazione delle informative adeguate a tutti i soggetti interessati netpharos da anni progetta e realizza impianti di videosorveglianza e di antifurto nelle province di Avellino, Benevento, Caserta, Napoli e Salerno

netpharos da anni progetta e realizza impianti di videosorveglianza e di antifurto nelle province di Avellino, Benevento, Caserta, Napoli e Salerno

04 Gen 2019

I droni rappresentano una delle evoluzioni tecnologiche attuali.

Con la parola “Drone” si far riferimento alla categoria di oggetti volanti :Aeromobili a Pilotaggio Remoto (APR). Sono dispositivi di varia dimensione,in grado di librarsi in cielo senza la necessità di un pilota a bordo che invece rimane a terra con un radiocomando per dirigerne i movimenti.

Il dispositivo deve essere sufficientemente leggero e attualmente esistono tre grandi famiglie di droni:

Struttura a eliche –> Con una o più eliche, montante di solito su bracci estraibili

Struttura planare –> Più simile agli aeroplani,  non hanno eliche ma ali.

Ibridi –> Dotati di due o quattro ruote motrici, non solo possono volare ma possono anche muoversi sul terreno.

I Droni possono essere utilizzati per scopi ricreattivi, rispettando ovviamente la privacy degli altri e informandosi bene sulle regole previste dall’Enac.   (https://www.enac.gov.it/sicurezza-aerea/droni)

Se il volo del Drone avviene in un luogo pubblico, parchi ,strade, spiagge non bisogna invadere gli spazi personali e l’intimità delle persone ma può avvenire solo se i soggetti ripresi non sono riconoscibili o perché ripresi da lontano. Fanno eccezione i casi in cui le riprese avvengono per fini giornalistici anche se ,anche per questa finalità, raccogliere il consenso risulta spesso estremamente difficile.Quindi si possono diffondere le immagini  solo se i soggetti non sono riconoscibili perché ripresi da lontano o perché i loro volti sono stati oscurati tramite appositi software.

Anche per i droni va applicata la privacy by design e la privacy by default, ovvero devono essere costruiti per raccogliere meno dati possibili.

Sul sito del Garante si trovano tutti i consigli per rispettare la privacy se si usano droni a fini creativi.

https://www.garanteprivacy.it/droni

04 Gen 2019

Cloud Computing

Con il termine Cloud Computing si intende ” nuvola informatica” o per meglio dire un set di tecnologie e modelli di servizi basati sull’uso di Internet per processare dati, archiviarli ,gestirli e trasmetterli.

Uno dei vantaggi del Cloud Computing è la disponibilità on demand di varie risorse configurabili per adeguarle volta per volta alle prestazioni richieste.

Tra le caratteristiche/vantaggi che questi sistemi offrono:

  • Larga gamma di accessi al sistema di network;
  • Rapidità  ed elasticità  nell’utilizzo degli accessi e dei servizi;
  • Utilizzabilità on demand da parte di tutti gli utenti;
  • Condivisione delle risorse;
  • Ottimizzazione dei servizi richiesti

Oltre alle varie caratteristiche  esistono anche modelli differenti di servizi offerti dal Cloud:

SaaS – Software as a Service Il consumer utilizza le applicazioni cosi come offerti dal Computer Service Provider (CSP);

PaaS – Platform as a Service. Il consumer elabora programmi e applicazioni con il limite di dover utilizzare il linguaggio della macchina, le librerie, e i tools messi a disposizione dal Computer Service Provider (CSP);

IaaS – Infrastructure as a Service. Il consumer può utilizzare i propri software con sistemi operativi e applicazioni.Ovviamente la struttura del sistema non può essere modificata.

4 modelli organizzativi :

Il Cloud computing privato =Paradigma di strutture e di risorse organizzate da un soggetto privato per una pluralità di utenti;

Il Cloud di comunità = Struttura Cloud messa  a disposizione  per un gruppo specifico di consumers

Il Cloud pubblico= Struttura con l’organizzatore soggetto pubblico e utilizzato o posseduto da imprese pubbliche, strutture accademiche o di ricerca o anche da un complesso di questi soggetti.

Hybrid Cloud =Connessione di due o più sistemi Cloud diversi, operati da privati o soggetti pubblici.


Quali sono i vantaggi economici del Cloud?

La tecnologia Cloud in tutti i suoi modelli organizzativi e in tutte le caratteristiche, rappresenta dei notevoli vantaggi economici. L’idea alla base della costruzione del Cloud europeo è legata molto all’obiettivo di sviluppare il cosidetto European Open Source Science Cloud.

 

 

GDPR e Cloud
Il GDPR come per il Cloud è orientato a favorire la messa in comune dei dati e delle informazioni , in condizioni di sicurezza  e in sistemi di interoperabilità che facilitano non solo l’uso condiviso dei dati pubblici e soprattutto di quelli finalizzati alla ricerca e  alla conoscenza.
Il GDPR ha norme dichiaratamente finalizzate ad incrementare la circolazione dei dati e la pluralità delle finalità per cui essi possano essere trattati

Definiamo di seguito alcuni principi chiave per l’utilizzo del Cloud in rispetto  al GDPR:

  • Localizzazione dei server e delle infrastrutture,
  • Il Controller devono avere una piena conoscenza del sistema di governance che regola i diversi tipi di Cloud.
  • Prima di stipulare il contratto è indispensabile accertarsi che il fornitore del sistema, e il sistema stesso, siano perfettamente compliance col GDPR.

netpharos segue sin dalle prime fase un’azienda o un ente pubblico  per la conformità al GDPR , nelle province di Avellino, Benevento, Caserta, Napoli e Salerno.

20 Nov 2018

Data la notevole mole di dati trattati dalla soluzioni TVCC, il GDPR influisce notevolmente sul settore.
Di conseguenza  i Titolari e Responsabili del Trattamento dei dati  hanno l’obbligo di aumentare i livelli di sicurezza preoccupandosi di:
-Identità
-Privacy
-Monitoraggio degli eventi

Una delle tecniche è impostare password sicure e modificarle mensilmente o settimanalmente per aumentare il livello di protezione e di accesso.
Esistono sistemi che bloccano gli indirizzi IP del client remoto al 7° tentativo di accesso. Si inseriscono diversi livelli di autorizzazione per ciascun utente in modo da impostare eventuali limitazioni per il controllo e gestione degli apparati.
Per poter gestire la videosorveglianza è bene configurare le autorizzazioni e i diritti di visualizzazione live da locale o da remoto. In questo modo si filtrano gli accessi per i client autorizzati.

Per proteggere il trasferimento dei dati in fase di backup, download, riproduzione e visualizzazione live esistono dei sistemi di crittografia dei flussi tra cui : Stream Encryptiom. Tale sistema crittografico protegge da attacchi “man-in-the-middle”.

Le telecamere IP ,supportano lo standard IEEE 802.1X, che abilitato, permette di proteggere l’accesso in quanto richiede un autenticazione utente per collegare la telecamera alla rete protetta. I file di log permettono di memorizzare eventi anomali, come allarmi rilevati,anomalie e altre informazioni di servizi del  dispositivo di videosorveglianza.
Esiste anche un interfaccia “gestione utenti online” che permette di individuare gli utenti che stanno visitando il dispositivo.
Dalla lista utente, si possono recuperare informazioni come nome utente,livello, indirizzo IP e orario di accesso al sistema.
Tra le garanzie di sicurezza ci sono i test trimestrali dell’integrità del sistema rispetto a possibili minacce relative alla sicurezza di terze parti

Hikvision, numero uno al mondo nella produzione di sistemi e soluzioni di videosorveglianza e sicurezza, ha ottenuto  il certificato FIPS 140-2 per il modulo crittografico HIKSSL

FIPS 140-2 è uno standard di crittografia del Governo degli Stati Uniti messo in campo dal National Institute of Standards and Technology (NIST), una divisione del Dipartimento del Commercio degli Stati Uniti. Utilizzato dalle agenzie governative federali negli Stati Uniti e in Canada.

ll modulo di crittografia di Hikvision (HIKSSL) ha ottenuto la certificazione FIPS 140-2 di livello 1 sia per le telecamere IP che per i videoregistratori di rete (NVR).

Hikvision prende molto sul serio la sicurezza informatica, attenendosi rigorosamente alle normative che regolano i diversi paesi nei quali opera.

FIPS 140-2 viene ampiamente adottato anche nei settori regolamentati (finanza, sanità, giustizia, utilities, e le stesse imprese commerciali).

 

netpharos da anni progetta e realizza impianti di videosorveglianza e di antifurto nelle province di Avellino, Benevento, Caserta, Napoli e Salerno

 

08 Set 2018

Videosorveglianza
I sistemi di videosorveglianza hanno abitualmente sempre lo stesso obiettivo, ovvero quello di contenere fenomeni criminali.
Una teoria sociologica dice che il crimine può essere prevenuto laddove vengono ridotte le opportunità a delinquere  senza però che venga realizzato il displacement ,ovvero lo spostamento del fenomeno criminale. Esiste anche un problema di bilanciamento tra la prevenzione del crimine e la riservatezza della persona.
Informative
Le informative possono essere fornite anche in combinazione con icone standardizzate per dare un quadro d’insieme del trattamento previsto. Tale informativa sintetica deve essere sempre accompagnata da un informativa estesa, necessaria a espletare tutte le informazioni richieste dal Garante
Cosa chiede il nuovo Regolamento Europeo?
Modulo per la richiesta di autorizzazione impianto audiovisivo e relazione tecnica avanzata firmata dal Legale rappresentante.

 

Specifica delle esigenze di carattere organizzativo;produttivo;sicurezza sul lavoro  e Modalità di funzionamento, conservazione dei dati e loro gestione con:

  • Caratteristiche tecniche delle telecamere interne ed esterne
  • Modalità di funzionamento del dispositivo di registrazione
  • Numero di monitor
  • Tempo di conservazione delle immagini

Nella circolare n.5 del 19 febbraio 2018, con oggetto “indicazioni operative sull’installazione e utilizzazione di impianti audiovisivi e di altri strumenti di controllo ai sensi dell’art.4 della legge n.300/1970 “,viene evidenziato come il provvedimento autorizzativo non sarà più legato al numero e alla dislocazione degli strumenti utilizzati quindi non sarà necessario allegare planimetrie dei luoghi in cui l’azienda intende installare  le apparecchiature, ma solo aggiornare il provvedimento autorizzativo se vengono anche minimamente modificare le strumentazioni già autorizzate.

Gli eventuali controlli ispettivi saranno pertanto volti a verificare che le modalità di utilizzo degli strumenti di controllo siano assolutamente conformi e coerenti con le finalità dichiarate

C’è la possibilità di visionare da “remoto” sia le immagini in real time che quelle registrate, nel rispetto di alcune cautele esplicitate nelle note., l’accesso alle immagine registrate  sia da remoto che in loco, deve essere tracciato tramite funzionalità che consentono la conservazione dei “log di accesso” per un periodo non inferiore a sei mesi

netpharos da anni progetta e realizza impianti di videosorveglianza  nelle province di Avellino, Benevento, Caserta, Napoli e Salerno e nel rispetto delle normative e/o regolamenti vigenti

 

07 Ago 2018

Quali sono i ruoli del Titolare del Trattamento.
Il Titolare del Trattamento è la persona fisica o giuridica,l’autorità pubblica, il servizio o altro organismo che determina le finalità e i mezzi del trattamento di dati personali.
Abbiamo più volte visto come il Garante Privacy, pone una forte attenzione sul principio di Accountability, Responsabilizzazione, ovvero nella scelta di comportamenti proattivi  tali da dimostrare che è stata adottata una concreta e valida misura di sicurezza per assicurare l’applicazione del Regolamento.


Cosa dice il Regolamento?

In modo chiaro ed esaustivo nell’art.24,paragrafo 1, il Regolamento Europeo dice che spetta al Titolare mettere in atto tecniche e misure organizzative compliance, e non al DPO.

 

Tra i compiti del Titolare dei dati personali, possiamo elencare:

    • Predisposizione di un adeguato sistema di gestione privacy predisponendo quindi:

      1. Data protection by default and by design
      2. Registro della attività di trattamento (art.30)

a.Configurazione di criteri specifici impostati fin dall’inizio per la soddisfazione dei criteri del Regolamento

b. Il registro delle attività è  uno strumento fondamentale, usato dal Garante come supervisione ma è anche il sistema che permette di tener aggiornati tutti i trattamenti presenti all’interno dell’azienda o in un organismo pubblico. Indispensabile in caso di data breach e la valutazione e analisi del rischio.

I tempi di comunicazione delle violazioni devono avvenire nell’arco delle 72 ore e senza ingiustificato ritardo ad eccezione nel caso in cui il Titolare è in grado di dimostrare che la violazione non comporti un danno grave per i diritti e  le libertà delle persone fisiche.

Il titolare del trattamento deve quindi avere la capacità di attuare e scegliere  i comportamenti proattivi capaci di gestire il rischio e di evitare impatti negativi sulla libertà di ognuno

netpharos segue sin dalle prime fase un’azienda o un ente pubblico  per la conformità al GDPR , nelle province di Avellino, Benevento, Caserta, Napoli e Salerno.

24 Lug 2018

Il titolare e il responsabile del trattamento dei dati, devono mettere in atto una serie di misure tecniche che garantiscono un livello di sicurezza adeguato al rischio, misure valutate e applicate in base alla tipologia di azienda e alla tipologia di dati che tratta.

 


Il corpus normativo del GDPR è molto complesso e articolato e va a modificare radicalmente quello che è il concetto attuale di privacy. Basandosi sul principio di Accountability, l’approccio che hanno avuto le aziende è stato abbastanza complesso, in quanto la chiave di lettura sembra essere personale, anche se così ovviamente non è.

Bisogna  capire da quali rischi bisogna proteggere i dati che vengono trattati e quali e  quanti dati proteggere in base a livelli di priorità.

Uno degli elementi importanti è la protezione degli accessi in quanto la cifratura dei dati è una tra le minacce possibili contro le infrastrutture. Possono esserci accessi non autorizzati  che possono provocare, se non tenuti a bada, danni gravi e anche irreparabili.


Ma cosa si intende per controllo Accessi?

Si intende un sottosistema di sicurezza che si occupa di controllare varchi e porte, attraverso l’uso di apparati elettronici chiamati lettori di badge o lettori biometrici. Tale elemento non si intrinseca solo con la sicurezza ma viene anche utilizzato per verificare l’ora di ingresso e di uscita dei dipendenti.
Viene abitualmente utilizzato per proteggere le aree dove sono installate le “macchine” e dove i dipendenti lavorano.Ovvio che a tale sistema, vanno sempre aggiunti impianti di antintrusione, antifurto e videosorveglianza.
Ricordiamoci che il GDPR, in fase di controlli e ispezioni, prevede che venga dimostrato che tali elementi sono in utilizzo.

Prima di iniziare ad utilizzare un sistema di controllo di accessi dobbiamo porci delle domande:

  • Quali sono i luoghi in cui si effettua il trattamento (CED, archivi cartacei e digitali etc…)
  • Quali sono i varchi e il loro perimetro
  • Chi sono coloro che transitano in tali zone ( dipendenti, clienti, fornitori etc…)

Come funziona il controllo accessi

Ad ogni dipendente/utente viene assegnata una credenziale tipo:

  • Pin
  • Card
  • Transponder
  • Altro

Vengono quindi associati dei diritti di accesso, dove può accedere e quando. Se l’esito è positivo l’utente passa e raggiunge il luogo desiderato e ogni passo viene regolarmente memorizzato, ciò permette di avere storicità che potrebbe essere utilizzata in caso di violazioni.

Tenendo conto del Regolamento, bisogna dire che un sistema elettronico di questo tipo contiene e tratta dati personali quindi deve essere GDPR compliance.

Vengono infatti conservate informazioni anagrafiche e spesso dati sensibili, inoltre essendo spesso utilizzato anche per la rilevazione delle presenze di lavoro e la gestione del personale stesso, alcuni dati sono anche sensibili.

Il dubbio che quindi viene è.

  1. E’ necessario il consenso da parte dei dipendenti/utenti?

No, in quanto il trattamento dei dati avviene nell’ambito del rapporto di lavoro ( Risposta ampiamente contenuta nell’Art.6 pag 83 del link)

https://www.garanteprivacy.it/documents/10160/0/Regolamento+UE+2016+679.+Con+riferimenti+ai+considerando


Molto spesso i sistemi di controllo di accesso, sfruttano la biometria per identificare il personale e foto. 

  1. Possono questi dati essere oggetto di trattamento?

Si può utilizzare la biometria secondo le prescrizioni impartite dal Garante ( opportunità, proporzionalità etc…)

( Risposta ampiamente contenuta nell art. 9 c. 2 lett. b pag 86  ) “Trattamento di categorie particolari di dati personali”

https://www.garanteprivacy.it/documents/10160/0/Regolamento+UE+2016+679.+Con+riferimenti+ai+considerando

03 Lug 2018


(art. 37, par. 7, RGPD e art. 28, c. 4 del D.Lgs. 51/2018).

 

 


Requisiti DPO/RPD (Data Protection Officer, Responsabile della protezione dei dati)
La persona designata ad essere responsabile della protezione dei dati, non deve avere specifiche attestazioni formali o iscrizione ad appositi albi. Ciò che deve avere è un’approfondita conoscenza della normativa e delle prassi, delle norme e delle procedure amministrative.
Deve essere in grado di offrire consulenza e professionalità, per poter consigliare al meglio il titolare del trattamento.
Come si evince dal considerando 97 del Regolamento, il DPO deve agire in piena indipendenza,senza ricevere istruzioni e riferendo direttamente ai vertici e deve poter disporre di risorse personali, locali, attrezzature e di ogni altro elemento che possa essere da espletamento per le funzioni che deve svolgere.

Chi sono i soggetti privati obbligati alla sua designazione
Sono obbligati alla designazione di questa figura professionale, coloro che rientrano nei casi previsti dall’art.37, par.1, lett.b) e c)


b)e attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure

c)le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’Art.9 o di dati relativi a condanne penali e a reati di cui all’Art.10

 

Quali sono i soggetti per i quali non è obbligatoria la designazione del responsabile della protezione dei dati?
In casi diversi da quelli previsti non è obbligatoria tale figura, ad esempio per trattamenti di liberi professionisti, agenti, rappresentati e mediatori operanti su larga scala. Si faccia riferimento al considerando 97 del Regolamento che fa riferimento alle attività “accessoria”

C’è compatibilità con altri incarichi se si è responsabili della protezione
Si, a condizione che non sia in conflitto di interessi. In tale prospettiva, appare preferibile evitare di assegnare il ruolo di responsabile della protezione dei dati personali a soggetti con incarichi di alta direzione (amministratore delegato; membro del consiglio di amministrazione; direttore generale; ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (direzione risorse umane, direzione marketing, direzione finanziaria, responsabile IT ecc.). Da valutare, in assenza di conflitti di interesse e in base al contesto di riferimento, l’eventuale assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale).

 

Per maggiori dettagli e informazioni:
https://www.garanteprivacy.it/documents/10160/0/WP+243+-+Linee-guida+sui+responsabili+della+protezione+dei+dati+%28RPD%29.pdf