Con l’utilizzo del Software viene gestita la Valutazione dei rischi legata agli Asset (locale, armadio, cassaforte, pc, server, etc.). Ecco come fare.
Per iniziare questa procedura è necessario valutare prima la completezza delle due tabelle “Minacce” e “Misure di sicurezza” rispetto al proprio contesto aziendale. Il contenuto infatti va implementato in coerenza con la situazione reale dell’organizzazione, aggiornandola ad ogni cambiamento rilevante (esempio, se vengono aggiunte delle inferiate alle finestre del piano terra, va aggiunto un nuovo campo tra le “Misure di sicurezza”).
Procedere completando l’attribuzione delle “Minacce” e delle “Misure di Sicurezza” implementate per la sede aziendale: le “Minacce” vanno qualificate per “Gravità” (i valori vanno da 0: Non definita a 4: Elevatissima) e per “Probabilità” (valori da 0: Non definita a 4: Frequente). Per ottenere la Valutazione del rischio legata agli asset è necessario partire innanzitutto da un elenco aggiornato degli Asset aziendali completandone l’inserimento nella funzione “Asset” del Software. Ogni Asset inserito eredita al minimo le “Minacce” e le “Misure di Sicurezza” che sono state attribuite alla sede aziendale. Nel caso in cui un Asset sia rappresentato da un dispositivo, si dovrà anche definire in modo puntuale per ciascuna “Minaccia” anche la “Gravità” e la “Probabilità”, in caso contrario non sarà possibile avere come risultato il report di Valutazione del rischio.
Resta inteso che, anche per i dispositivi, vengono ereditate al minimo le “Misure di sicurezza” e le “Minacce” attribuite precedentemente alla sede aziendale. Se per alcuni dispositivi ve ne fossero di specifiche, vanno aggiunte puntualmente per ciascun dispositivo oggetto di analisi. Quando un asset è rappresentato da un dispositivo e viene utilizzato da uno o più incaricati, il Software permette di assegnare a quel dispositivo i trattamenti per i quali sono preposti gli incaricati a cui è assegnato.
La Valutazione del rischio legata agli asset che risulta dall’elaborazione dei dati nel Software rappresenta un riepilogo strutturato dei livelli di rischio misurati per ciascun asset. Sono evidenziate in rosso le aree di criticità non conformi a cui è stato attribuito un livello giudicato “da trattare”. Da questo riepilogo si evincono le aree di fragilità sulle quali operare valutazioni e scelte per introdurre adeguate “Misure di sicurezza”.

È uno strumento utile a verificare che la propria organizzazione ha svolto le operazioni di trattamento dati e di adeguamento in conformità al GDPR. Ecco di cosa si tratta.
Lo schema Inveo di certificazione ISDP©10003:2018 fornisce principi ed elementi di controllo (Annex) per una completa valutazione della conformità dei processi interni all’Organizzazione in merito alla protezione dei dati personali.
Accreditato da Accredia, rappresenta lo standard per ottenere una certificazione che ha valore in tutta l’Unione europea. È uno schema volontario e applicabile a tutte le tipologie di Organizzazioni che vogliano dimostrare la propria Accountability. È composto da 7 macroprocessi, 20 processi, 98 controlli e da una check list multidisciplinare, utilizzabile in ogni settore merceologico di valutazione.
Clicca qui per approfondire

Perché Eni Gas e Luce è stata sanzionata?
Telemarketing indesiderato e attivazione di contratti non richiesti. Sono le principali violazioni che hanno portato il Garante a sanzionare il fornitore di energia per 11,5 milioni di €.
Il Garante per la privacy ha applicato a Eni Gas e Luce (Egl) due sanzioni, per complessivi 11,5 milioni di euro, riguardanti rispettivamente trattamenti illeciti di dati personali nell'ambito di attività promozionali e attivazione di contratti non richiesti. Le sanzioni sono state determinate tenendo conto dei parametri indicati nel GDPR, tra i quali figurano l’ampia platea dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione, le condizioni economiche di Egl.
A seguito di diverse decine di segnalazioni e reclami, ricevuti all’indomani della piena applicazione del GDPR,  il Garante ha comminato la prima sanzione di 8,5 milioni di € per trattamenti illeciti nelle attività di telemarketing e teleselling.
Il Garante, dopo aver dichiarato l’illiceità delle condotte rilevate, ha ingiunto a Egl di implementare procedure e sistemi per verificare, anche tramite l’esame di un campione rilevante di nominativi, lo stato dei consensi delle persone inserite nelle liste dei contatti, prima dell’inizio delle campagne promozionali. Egl dovrà inoltre provvedere alla definitiva automatizzazione dei flussi di dati dal proprio database alla black list di chi non vuole ricevere pubblicità in uso presso la società.
La seconda sanzione di 3 milioni di euro riguarda violazioni nella conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas. Molte persone si sono rivolte all'Autorità lamentando di aver appreso della stipula di un nuovo contratto solo dalla ricezione della lettera di disdetta del vecchio fornitore o dalle prime fatture di Egl. In alcuni casi poi le segnalazioni denunciavano la presenza nel contratto di dati inesatti e di sottoscrizione apocrifa.
Clicca qui per approfondire

 

Cosa si intende per Asset?
Il termine si riferisce a un ampio spettro di beni materiali e immateriali. In ambito privacy, per Asset si intendono edifici, supporti informatici, dispositivi fissi e mobili in cui avviene uno o più trattamenti di dati personali. Un esempio di Asset è rappresentato da un servizio data center in Cloud in cui sono custoditi e gestiti dati personali.

Per quanto tempo devo mantenere la documentazione in archivio?
Per stabilire il periodo di conservazione di un archivio, il Titolare deve identificare prima il tipo di dati contenuti e i trattamenti per i quali sono stati raccolti. I dati personali non possono essere conservati per un tempo illimitato ma solamente per il tempo necessario per le finalità per le quali sono stati raccolti. Il tempo di conservazione, quando non è stabilito da termini di legge, deve essere comunque pertinente e giustificato.
Per i trattamenti per i quali esistono tempi di conservazione stabiliti da termini di legge, il Titolare ne dovrà garantire il rispetto, per i trattamenti che non hanno un tempo definito per legge, il Titolare deve definire e rendere noto nell’Informativa quale è il tempo massimo di conservazione. Ogni Titolare del trattamento deve quindi definire una politica di durata e di conservazione dei dati personali che raccoglie e gestisce.

L’e-mail di lavoro o il numero diretto di telefono di lavoro sono “dati personali”?
Sì, possono essere considerati dati personali. Non importa che queste informazioni siano relative al lavoro. Se queste informazioni possono identificare direttamente o indirettamente una persona, tali informazioni sono “dati personali” e sono protette dal GDPR.
 
Che cos’è il diritto all’oblio?
Pur non essendo un adempimento obbligatorio, questo diritto racchiude in sé un’attività che l’azienda dovrà svolgere nel momento in cui l’interessato richiede la cancellazione dei dati che lo riguardano. Il Titolare ha l’obbligo di cancellare senza giustificato ritardo i dati personali quando l’Interessato revoca il consenso dato in passato, quando l’Interessato si oppone a un trattamento e non sussistano motivi per i quali non possa farlo, se l’azienda ritiene che i dati non sono più necessari per le finalità rispetto alle quali furono raccolti oppure quando i dati dell’Interessato vengono trattati illecitamente. Se sussistono i presupposti, l’azienda dovrà provvedere obbligatoriamente alla cancellazione dei dati.
È possibile mantenere attivo l’account di posta dell’ex dipendente?
No, commette un illecito la società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro così come è illecito accedere alle mail contenute nella sua casella di posta elettronica.