Articoli

GDPR: Le migliori misure tecniche e organizzative

Quali sono le migliori tecniche per perdere distruggere o consegnare ai criminali i dati personali tuoi e dei tuoi clienti? Le misure tecniche e organizzative, queste sconosciute.

Ovviamente sto scherzando, però ci sono degli errori così clamorosi, così evidenti, che sembra incredibile che ancora oggi non si possano evitare con le giuste misure tecniche e organizzative.

Ecco perché faccio questo video, per metterti in guardia verso quello che davvero devi evitare:

Primo elemento di rischio: password deboli.

Le violazioni degli account dei servizi internet sono aumentate in frequenza e dimensione; fonte: databreaches.net

Il più classico degli errori e utilizzare password deboli e condivise fra più utenti. Questo è uno dei maggiori motivi di perdita di dati, furto di dati, furto di identità e truffe.

Per darti un’idea di come parte dei tuoi dati personali siano già in mano a organizzazioni criminali o a persone malintenzionate che vogliono usare i tuoi dati per ricavarne un beneficio, tipicamente economico, ti invito a andare a vedere sul sito vigilante.pw Quali sono i servizi che già usi abitualmente che sono stati violati in maniera massiccia da cybercriminali.

E se la maggior parte dei servizi che usiamo abitualmente (i quali hanno nostri dati personali come email , nome cognome, password, ecc) sono stati violati significa che anche i nostri dati sono stati copiati e sono ora in possesso degli cybercriminali.

Quindi prima cosa è sicuramente mettere in sicurezza il processo di gestione delle password della tua organizzazione. Ovviamente questo deve essere fatto anche in funzione del rischio e dell’esposizione sul web (vedi anche il mio precedente articolo “Come mettersi in regola in 3 fasi”), ma ormai dovrebbe essere di dominio comune che le password debbano essere:

  • SOLIDE, cioè che contengano delle regole di composizione non facilmente decifrabili,
  • strettamente personali
  • modificate periodicamente.

Secondo: Protezione da malware

Il secondo punto, grande classico del rischio informatico, è l’attacco da parte dei cosiddetti malware. Se non sai di cosa sto parlando sicuramente però hai sentito parlare di virus e di altri strumenti che servono per entrare nel tuo computer con lo scopo di recarti un danno, rubare i tuoi dati, oppure bloccarlo per chiederti un riscatto (ransomware).

gli attacchi ransomware (bloccano i tuoi dati per chiederti un riscatto) sono raddoppiati nel 2018 rispetto al 2016

Oppure anche soltanto per spiare le tue i tuoi comportamenti, le tue comunicazioni (spyware), e questo può portare ad un danno ancora maggiore perché le organizzazioni criminali come ti racconto più tardi.

Per darti un’idea della pericolosità e della diffusione di questo fenomeno, gli attacchi ransomware, quelli che appunto chiedono un riscatto per sbloccare i tuoi dati, sono raddoppiati negli ultimi due anni.

Terzo: attacco cybercriminale

Avrai sicuramente sentito parlare del fishing cioè tecniche di chiedere dei dati personali o dei pagamenti alle persone che cliccano su determinate email costruite ad arte per ingannare gli utenti.

gli attacchi ransomware arrivano per il 91% dalle email. Negli ultimi anni abbiamo assistito al DECUPLICARSI degli eventi di Phishing

Lo scopo è far credere che la comunicazione proviene da organizzazioni affidabili, mentre in realtà sono organizzazioni criminali che operano sotto mentita spoglia.

il Social Engineering

Però forse non hai ancora sentito parlare di social Engineering, termine con il quale si racchiudono tutte le tecniche che sfruttano le vulnerabilità umane, partendo da dati disponibili pubblicamente.

Le informazioni preliminari sulle persone sono tratte dai social (linkedIN è una piattaforma eccellente per ricostruire nomi e ruoli all’interno delle organizzazioni) e sulla base di queste informazioni vengono organizzate vere e proprie truffe per estorcere denaro.

Un esempio di applicazione del Social Engineering è quella del dirottamento del conto corrente, chiamata  anche BEC, business email compromise.

Questo è tipicamente il risultato di una lunga attività di spionaggio, tramite degli spyware, sottoinsieme dei malware di cui ti parlavo prima, operato da persone che spiano le comunicazioni email della tua organizzazione.

Tipicamente si insinuano all’interno della transazione tra un cliente è un fornitore. Al momento opportuno dirottano il pagamento del cliente Su un conto corrente non del fornitore ma dell’ organizzazione criminale.

Il procedimento del dirottamento dei conti correnti. I criminali informatici stanno allargando le loro competenze dalla tecnica allo spionaggio industriale e alla psicologia umana (social engineering)

Il 91% di questi attacchi avviene tramite email, quindi vi rendete conto che l’anello debole di questa catena, risiede nel fattore umano. È ovviamente la persona che distrattamente o per incompetenza casca nel tranello e involontariamente crea il danno.

Questi attacchi nei prossimi anni cresceranno ulteriormente perché al momento sono estremamente efficaci. E saranno sempre più precisi.

Le misure tecniche e organizzative

Quindi cosa fare per proteggersi da queste attacchi?

Il Regolamento Europeo 679/2016 GDPR, vi aiuta a mettere a punto le giuste protezioni suddividendo gli interventi da apportare fra misure tecniche e misure organizzative.

Le misure tecniche

Le misure tecniche Sono principalmente:

  • Password solide
  • far accedere i dati solo determinate persone e non tutte indiscriminatamente (permission)
  • aggiornare continuativamente le definizioni di virus e malware in genere
  • proteggere i sistemi con sistemi firewall, software o Hardware
  • avere sistemi di backup
  • valutare periodicamente le vulnerabilità tecniche (vulnerability assessment), cioè procedure per valutare le possibili modalità in cui i tuoi sistemi possono essere “bucati”.

Le misure organizzative

Fra le misure organizzative abbiamo:

  • prima di tutto la formazione e come naturale conseguenza di questo anche delle
  • procedure scritte che prevengano comportamenti sbagliati o inconsapevolmente dannosi. E poi anche tecniche come la
  • business continuity cioè la pianificazione dei comportamenti da mettere in atto a seguito di un incidente o di un evento dannoso.

La cosa che mi preme sottolineare è che il punto fragile dell’organizzazione, l’anello debole della catena è sempre la persona, l’essere umano, un po’ per distrazione, un po’ per incompetenza.

Quindi per prevenire questo tipo di errori è fondamentale elevare la soglia di attenzione e consapevolezza delle persone in modo tale che incompetenza e distrazioni vengano ridotte in maniera drastica.

Non mettere in atto le giuste misure tecniche e organizzative non è solo una violazione del codice privacy e del regolamento europeo GDPR 679/2016 (leggi il mio precedente articolo “GDPR: le sanzioni e gli altri 3 grandi rischi”)

Non è forse la cosa più semplice ma è sicuramente la cosa più efficace da fare. Investite in formazione. Periodica. Capillare. Insistete sempre su questo tasto. Formazione. Costa poco e vi evita tanti danni! 🙂

In un precedente articolo (vedi “Privacy e GDPR, che P… !) avevo sottolineato gli aspetti positivi di un obbligo di legge fondamentalmente noioso, ma il GDPR è davvero una opportunità per proteggere i dati personali e aziendali.

Proteggere i dati personali e aziendali

Se vuoi conoscere nel dettaglio le misure tecniche e organizzative da adottare, avete a disposizione tantissime risorse gratuite su internet, davvero, se te ne intendi un po’, hai a disposizione un mare di risorse.

Se invece stai cercando un metodo passo-passo per fare da solo senza costose consulenze, con video tutorial, webinar con domande e risposte, formazione per te e per le persone che lavorano con te, vai a vedere il nostro metodo S.I.C.U.R. su www.gdprfacile.com.

Ovviamente ci sono tutte le misure tecniche e organizzative di cui parlo sopra e anche di più: il nostro programma gdpr facile ha proprio nella formazione uno dei suoi punti di forza. Infatti all’interno del programma ci sono tanti video tutorial che possono essere distribuiti a tutte le persone che fanno parte dell’organizzazione.

In modo tale da costituire un capitale cognitivo della tua organizzazione, un vero e proprio asset che rimane di tua proprietà negli anni.

Clicca su www.gdprfacile.com e lascia i tuoi dati per conoscere i prossimi incontri di formazione gratuita on line (webinar) e avere del materiale per iniziare a mettere in regola la tua organizzazione.

www.gdprfacile.com
accedi a www.gdprfacile.com

Alla prossima

GDPR: le Sanzioni e gli altri 3 grandi rischi

Quali sono le sanzioni e gli altri principali rischi per l’impresa che trasgredisce i requisiti del Regolamento Europeo della privacy?

Il rischio più famoso, quello più minacciato è quello delle sanzioni pecuniarie. Si parla di sanzioni da decine di milioni di Euro, percentuali elevate del fatturato, e altri spauracchi di questo tipo. Ma vediamo la realtà. Ovviamente si tratta di esagerazioni. Create ad hoc per spaventare gli imprenditori e spingerli  rapidamente all’azione.

Per la precisione queste cifre sono realmente previste ma solo in determinate circostanze e in determinate condizioni e quindi non ne parliamo.

Ma vediamo quali sono i quattro principali tipi di rischio a cui un’impresa va incontro se non è in regola con la privacy.

Primo rischio: SANZIONI PECUNIARIE

In effetti il primo tipo di rischio è proprio quello sanzionatorio. Esiste, non è il principale, come vediamo dopo, ma non è poca cosa. Ci sono molti casi in cui effettivamente piccole imprese sono state multate sproporzionatamente anche solo per questioni burocratiche. Ho già parlato una volta di uno studio di commercialisti di Prato che è stato multato per €12000 soltanto perché non aveva il banner dei cookies installato sul sito. Vedi l’articolo a questo link.

Certo, è una inadempienza, ma la ritengo una misura assolutamente sproporzionata soprattutto perché il commercialista non usava i dati per profilare clienti o per attività di marketing automatizzato. Quindi non arrecava un vero danno a nessuno.

Ma vediamo: come si risolve questo aspetto? come ci si mette al riparo dalle sanzioni?

Bene, se non ci sono criticità specifiche nell’uso dei dati, questa parte è facilmente risolvibile mettendo in ordine la questione burocratica della privacy. Mettendo cioè a norma la parte documentale e formale con un buon assetto documentale di partenza.

Ci sono decine di documenti scaricabili, anche gratuitamente, da internet.

Il nostro kit gdpr facile ti fornisce:

  • un metodo guidato in 5 fasi
  • con video che guidano passo passo
  • il kit di documenti pronti da personalizzare e già conformi al regolamento privacy

È stato pensato per questo: per farti mettere in regola senza l’aiuto di consulenti.

Secondo rischio: RISCHIO RISARCITORIO

La seconda voce di rischio è sicuramente quella del rischio risarcitorio.

Sbagliare comportamento riguardo ai dati personali, sbagliare un trattamento dei dati con dolo o con colpa può far arrabbiare qualcuno.

Comportamenti sbagliati come scambiarsi i dati fra aziende, senza una  formale contitolarità, oppure utilizzare liste di email o telefoni per finalità diverse da quelle per cui sono stati raccolti, oppure ancora, trattare dati sensibili senza proteggerli in maniera particolare, sono  illeciti che giustamente sono puniti dalla legge.

È importante  conoscere i meccanismi che ci stanno dietro per non infrangere la legge, però è importante anche e soprattutto usare il buon senso. Mettetevi sempre nei panni anche dell’interessato, della PERSONA a cui si riferiscono i dati.

un aneddoto: l’agenzia incompetente che rischia grosso

Come tutti, anche i miei dati personali sono stati captati da agenzie che li hanno poi usati per finalità diverse; oppure senza avere la base giuridica per usarli (consenso, legittimo interesse, ecc).

L’anno scorso il mio numero di cellulare è finito in una lista sms e da allora sono stato bersagliato da continui messaggi promozionali per finalità che non avevo autorizzato. E fra l’altro in aree geografiche che non mi riguardavano.

Dopo un primo avviso bonario, senza risultati, ho mandato una raccomandata per farmi togliere dalla lista. Ma anche in quel caso non ho ottenuto niente. Dopo tre o quattro solleciti ho mandato una raccomandata con la minaccia di fare un esposto al garante per la privacy. In quel caso sono stato richiamato e il problema è stato risolto. Ovviamente non era mia intenzione fare un danno grave ad un’azienda.

Magari aveva fatto il danno involontariamente, solo per negligenza o incompetenza. Però se invece di me, avesse incontrato uno di quei puntigliosi che vivono di questo, sicuramente avrebbe avuto una sanzione finanziaria di migliaia di euro e avrebbe rischiato l’interdizione del database, cosa di cui parlo fra poco.

Terzo rischio: INTERDIZIONE DEI DATI

Infatti il terzo rischio è proprio quello dell’interdizione all’uso dei dati. Usare allegramente e illecitamente una base di dati senza autorizzazione o consenso o senza una base giuridica vera e propria, termine chiave molto importante, questo, può avere come effetto l’interdizione ad usare l’intera base dei dati. Quindi occhio,  alcune aziende che basano la loro crescita sul database dei clienti è sicuramente molto sensibile a questo argomento. Vedi l’aneddoto raccontato sopra.

Quarto rischio: VIOLAZIONE DEI DATI

L’ultimo rischio, spesso sottovalutato, ma veramente importantissimo, è il rischio di perdita di dati e della violazione dei dati, detto in inglese data breach.

Data breach significa più genericamente violazione dei dati, violazione che può venire dall’esterno o anche dall’interno.

Significa comunque che alcune persone non autorizzate hanno avuto accesso ai dati di cui sei titolare, e potrebbero farne un uso illecito:

  • usarli per propri scopi,
  • usarli per attività illegali
  • minacciarti per un riscatto
  • e così via

L’imprenditore è tenuto a segnalare anche solo il sospetto che i dati dei suoi clienti, dipendenti e fornitori siano entrati in possesso di malintenzionati. Deve avviare una procedura formale e segnalarlo all’interessato e al garante della privacy.

Come si risolve questo aspetto? Il principale modo per prevenire le violazioni dei dati è quello di avere un solido sistema di protezione. Tecnico e organizzativo.

Lo stesso Regolamento Europeo chiede di adottare le giuste misure tecniche e organizzative in base al proprio livello di rischio.

Di come analizzare i rischi ne parlo in questo articolo: Come mettersi in regola al GDPR in 3 fasi, mentre delle delle misure tecniche e organizzative ne parlo nel prossimo articolo, quello del 25 marzo.

Ma grossomodo le misure tecniche possono andare

  • da una definizione di un solido processo di gestione delle password,
  • ad una protezione tramite antimalware, antivirus e firewall con apparati IT sempre aggiornati,
  • a sistemi di monitoraggio
  • eccetera

La misura organizzativa per eccellenza che più di ogni altra ti mette al sicuro da ogni violazione di dati, invece, è la formazione del personale. L’anello debole della catena di sicurezza che protegge i tuoi dati sta nel fattore umano, come sempre accade.

Molte volte ho visto implementare dei sistemi di gestione della privacy ineccepibili dal punto di vista formale ma senza alcuna formazione al personale.

Questo non è solo un rischio formale dato che la formazione è obbligatoria. Ma è soprattutto un rischio sostanziale perché il personale non è aggiornato sulle principali tecniche di violazione che gli hacker e i malviventi digitali mettono in atto. E può quindi danneggiare non solo i dati personali, ma anche i tuoi dati aziendali fino anche a danni finanziari (ne ho parlo anche in un altro video articolo). È un rischio vero, reale e  grave.

La formazione si può trovare facilmente online, gratuitamente o per poche centinaia di euro, quindi, non ti conviene assolutamente trascurarla.

Anche nel nostro programma gdpr facile (www.gdprfacile.com), in ognuna delle 5 sezioni del metodo S.I.C.U.R. c’è una serie di video formativi che rimane tua proprietà e che può essere usata per sempre per la formazione del tuo personale, anche quello futuro.

Quindi, Ricapitolando:

  1. rischio sanzioni,
  2. rischio di risarcimenti
  3. rischio di interdizione di un determinato database
  4. rischio di perdita di dati per violazione da parte di malintenzionati.

Questi sono i quattro rischi principali. Ti ho già detto come metterti al riparo, quindi mi raccomando… a buon imprenditor, poche parole…

Nel prossimo video ti parlerò delle migliori tecniche per proteggere i tuoi dati

Alla prossima

GDPR: come mettersi in regola in 3 FASI

Cosa pensi che sia il GDPR? cosa è realmente? ecco le 3 fasi tipiche per mettersi in regola.

Intanto cominciamo da COSA NON È:

  • NON è una lista di cose da fare (come spesso si sente dire);
  • NON è una cosa nuova che prima non c’era;
  • NON è un limite all’utilizzo della tua base dati di contatti e potenziali clienti.

Non è una lista di cose da fare nel senso che questo Regolamento Europeo impone uno spostamento dell’attenzione da una serie di requisiti minimi da soddisfare (come qualcuno interpretava il vecchio D.Lgs 196/2003), ad un atteggiamento di responsabilità che richiede un’analisi.

Non è una cosa nuova da fare, perché esisteva già una legge che regolava la privacy, il D.Lgs. 196 del 2003, nato ai tempi in cui ancora i social non esistevano; questa norma aiutava già a capire che cosa andava fatto per tutelare i dati personali. Anche se ancora non c’erano le minacce che ci sono oggi. Ho già parlato in questo precedente articolo che i nuovi adempimenti non sono più pesanti dei precedenti nella maggior parte dei casi.

Infine non è un limite all’utilizzo della tua base dati, database commerciale, contatti e potenziali clienti, se tali dati sono legittimati da una base giuridica e sono utilizzati in maniera lecita.

Vediamo adesso che cosa è e GDPR,

È un regolamento innanzitutto che tende a regolare e a limitare l’utilizzo selvaggio dei dati personali.

La prima cosa che viene in mente sono i call center che cercano insistentemente di vendere contratti telefonici e dell’energia; ma anche i social network che utilizzano i dati in maniera assolutamente spregiudicata, approfittando di clausole lunghissime e illeggibili in pratica.

Siamo all’inizio di questa fase: già molte aziende sono state multate per un utilizzo aggressivo e illecito dei dati in fase di raccolta e vendita. Molte altre saranno multate perché basano sui dati personali il loro modello di business. E saranno sicuramente in difficoltà nei prossimi anni
finché non troveranno un nuovo modello di business.

Il GDPR è anche un’opportunità per proteggere i tuoi dati in maniera sistematica. Lungi dall’essere una cosa meravigliosa per l’imprenditore che avrebbe ben altri argomenti a cui pensare, in effetti questa legge aiuta a definire un metodo per proteggere i dati, non solo i dati personali; aiuta anche a far salire l’attenzione sulla sicurezza e protezione dei dati aziendali in genere, evitando così che i dati tuoi e dei tuoi clienti possano finire in mani malintenzionate o essere distrutti.

GDPR: come mettersi in regola in 3 FASI

Vediamo adesso le tre fasi che servono per adeguarsi al GDPR:

FASE 1 – ANALISI

La prima fase è quella dell’analisi. In questa fase bisogna elencare i dati personali che sono trattati nella tua organizzazione, e valutare l’impatto che avrebbero eventuali perdite o accessi indesiderati.

Quindi si passa da un atteggiamento di risposta ad un elenco di attività minime da eseguire, ad un atteggiamento di responsabilità, attivo, volto a capire quali sono i dati della tua organizzazione, dei tuoi clienti, fornitori e dipendenti, che possono essere persi, danneggiati oppure sottratti da malintenzionati.

In questa fase quindi sarà importante calcolare il rischio associato al trattamento di ciascuno di questi dati. Questo non è un passaggio obbligatorio per legge ma è fondamentale per dimostrare di avere fatto una vera e propria analisi attiva con responsabilità sui dati personali. Nel nostro KIT GDPR facile, è previsto un metodo, chiamato S.I.C.U.R, che contiene uno strumento che ti guida in questo tipo di esame, con decine di casi precompilati in modo da facilitare questa analisi e velocizzarne la documentazione.

 il metodo S.I.C.U.R. di www.gdprfacile.com
il metodo S.I.C.U.R. di www.gdprfacile.com/

FASE 2 – PROTEZIONE

Una volta individuati i rischi, vanno definite le misure tecniche e organizzative che servono a ridurre o ad eliminare questi rischi. Anche in questo caso nel nostro KIT GDPR facile c’è il modulo C, custodisci, che serve appunto per elencare la serie di misure tecniche e organizzative che si devono mettere in pratica. In uno dei prossimi video dettaglierò singolarmente voce per voce le singole misure.

FASE 3 – BUROCRAZIA

La terza fase è quella della messa a norma dell’aspetto burocratico. Quindi mettere a posto gli incarichi ai professionisti esterni, mettere a punto le informative per i clienti reali e potenziali, a seconda del tuo business potresti dover coinvolgere anche dei minori e genitori, oppure trasferire dati all’estero, eccetera. Tutta la fase burocratica da mettere a posto, oggetto del modulo R del metodo S.I.C.U.R. di GDPR facile, non è certo entusiasmante, ma se guidati passo passo, non è certo difficile.

Ricapitolando:

  1. prima fase di analisi,
  2. seconda fase di protezione,
  3. terza fase di messa a norma burocratica.

Andando a vedere su gdprfacile.com puoi capire come è strutturato il metodo e ti puoi fare un’idea anche nel caso tu volessi implementarlo per conto tuo.

Un caro saluto, a presto!

Privacy GDPR, che P…

Perché questa privacy sta così antipatica a tutti gli imprenditori? Ma è davvero un ulteriore appesantimento burocratico e normativo?

NO!

e ti spiego perché.

Il vecchio Decreto 196/2003 contro il nuovo Regolamento Europeo 679/2016

Prima di tutto perché esisteva già una legge, la 196 del 2003 che sostanzialmente chiedeva le stesse cose del Regolamento Europeo 679/2016 entrata in vigore l’anno scorso con il decreto attuativo 101/2018.

Quindi per prima cosa c’è questo aspetto: la legge che chiedeva di rispettare la privacy, di incaricare formalmente alcune figure, di adottare delle misure di protezione, ecc ecc ecc, c’era già. Anzi forse era più severa per certi versi del regolamento attuale. Il GDPR presenta meno adempimenti burocratici.

Il secondo aspetto invece è  squisitamente psicologico. La cosa che ha reso veramente antipatico questo adeguamento normativo è la pressione psicologica. Quasi un ricatto esercitato da tanti consulenti e software house che hanno fatto terrorismo psicologico sbandierando imminenti multe milionarie.

Eh sì, hanno sfruttato l’imprepazione iniziale dei manager e degli imprenditori, il clima di terrore e l’effettiva urgenza dell’adeguamento per vendere le loro soluzioni magiche. Vi ricordate le centinaia di email che vi sono arrivate a ridosso del 25 maggio? Neanche una dalle aziende che seguiamo noi, sia chiaro!

Per non parlare di quelle che hanno DECIMATO la loro base dati di contatti per il semplice fatto che qualche consulente dell’ultim’ora (magari un legale che, vivendo nel suo studio non sa niente di marketing) ha richiesto tassativamente di “avere il consenso dall’interessato“. Che ovviamente è arrivato in un caso su 10 o su 20. Mi dispiace davvero, peccato!

Solo in pochi hanno usato la testa, molti sono stati guidati dalla paura

Ovviamente il 90% di quella urgenza era una bufala. A parte per determinate organizzazioni in determinate condizioni (quelle che DAVVERO trattano i dati delle persone in maniera massiccia) la stragrande maggioranza degli interventi nelle piccole imprese erano esagerati, incompleti, parziali, inutili o superficiali.

Con i “ragazzi” della PROVECO Srl, una delle imprese che ha accettato di fare una seria analisi delle criticità e che adesso è veramente “al sicuro”!

Cerchiamo invece di capire dove sta la realtà. Dov’è la VERITÀ? Questo regolamento alleggerisce determinati adempimenti; mentre ne appesantisce altri per particolari categorie di organizzazioni che trattano i dati personali in modo massiccio o che trattano dati personali veramente delicati (es: dati personali sensibili oppure in marketing profilato e automatizzato).

Quindi cerchiamo di capire come funziona in due parole questo regolamento europeo. Prima di tutto è un’innovazione per l’aspetto giuridico italiano tipico. Perché sposta l’attenzione da un atteggiamento di conformità, ad un atteggiamento di responsabilità: prima esistevano una serie di misure minime (che magicamente poi diventavano anche le misure massime!!!), mentre adesso bisogno dimostrare di averci messo un po’ la testa.

Sì, ammetto, era più comodo adottare una checklist, ma cadere in errore era più facile!

Quindi dobbiamo dimostrare che abbiamo preso in seria considerazione la privacy e la gestione dei dati personali. questo presuppone di fare un’analisi piena, e non basta adottare una semplice check list con qualche modulino. Ed ecco dove sbagliano tantissimi consulenti e tanti imprenditori guidati male: bisogna capire dove stanno le criticità rispetto alla gestione dei dati personali.

Se eri già in regola con la vecchia Privacy, ti manca poco

Intendiamoci: la stragrande maggioranza delle imprese non tratta dati sensibili, non tratta dati personali in maniera critica, non tratta dati a livello marketing con profilazione e trattamenti automatici. Quindi, se hai un’azienda di carpenteria o uno studio di servizi industriali, probabilmente non hai bisogno di fare niente di più di quello che già facevi con Il vecchio decreto 196/2003

Ovviamente se non eri in regola prima, sta a te decidere se continuare a lavorare senza rispettare le regole con i relativi rischi, oppure se cominciare ad adeguarti adesso.

La stragrande maggioranza degli imprenditori non avrà un grande impatto burocratico. Tuttavia io consiglio sempre ai miei amici e ai miei clienti di avere un atteggiamento di analisi verso i dati personali, piuttosto che di “risposta”.

Il metodo S.I.C.U.R.

Ho messo a punto un metodo. Il metodo si chiama S.I.C.U.R. (vedi il metodo su gdprfacile.com)  ed è un metodo in cinque fasi. Come nostro stile, per ciascuna di queste 5 fasi, sono stati creati altrettanti video tutorial e documenti personalizzabili sulla nostra piattaforma, per rendere facile la vita a manager, imprenditori e responsabili che si vogliono cimentare autonomamente nell’impresa.

il metodo S.I.C.U.R. di gdprfacile.com

S = SCOPRI

GDPRfacile.com, Privacy e documentazione
La prima lettera è la S di scopri. Scopri quali sono i requisiti che si applicano alla tua organizzazione, quali ruoli entrano in gioco all’interno e allesterno della tua impresa. Non devi conoscere tutti i requisiti: solo quelli che si applicano veramente alla tua organizzazione.

I = INDIVIDUA

GDPRfacile.com, Privacy e documentazione
Il secondo punto, la I di Individua, ti indica quali sono gli interventi  che devi veramente implementare per mettere al sicuro i tuoi dati e i dati personali degli interessati.

C = CUSTODISCI

GDPRfacile.com, Privacy e documentazione
con la C si intende custodisci i dati sensibili e dati personali con le giuste  misure tecniche e organizzative.

U = UNIFORMA

GDPRfacile.com, Privacy e documentazione
Con il 4° modulo, riuscirai ad UNIFORMARE la tua presenza sul web.

Che tu abbia un sito vetrina o che tu abbia un commercio elettronico, devi mettere in ordine le tue policy per fornire le corrette informazione ai tuoi clienti e interessati e per ottenere la conformità al regolamento. E mi raccomando, quando parlo di presenza sul web non intendo necessariamente avere un commercio elettronico, anche il singolo sito vetrina installa cookies sui computer dei visitatori. Al termine dell’articolo ti racconto un triste episodio accaduto a Prato.

Quindi, a seconda che tu abbia una presenza statica o dinamica sul web, se hai un classico sito vetrina, o un sistema che cattura i dati dei clienti con dei moduli on-line, oppure se fai veramente commercio elettronico, avrai diversi livelli di adeguamento con complessità a diverse.

R = RIPARATI

GDPRfacile.com, Privacy e documentazione
In questo modo metti al RIPARO la tua attività conoscendo i rischi di violazione delle norme e dei Diritti dell’interessato: Quali sono le sanzioni Quali sono le violazioni più probabili Le conseguenze in caso di violazione Il rischio risarcitorio Il rischio reputazionale

L’ultimo punto, la R, sta per ripararsi. Sì esatto, ripararsi dalle sanzioni, conoscendo quali sono sanzioni possibili per il tuo business. Evitarle semplicemente eliminando le cause dei possibili reati, per il fatto stesso che sei conforme.

Il triste episodio del commercialista di Prato

Nel 2015, quindi prima dell’entrata in vigore del Regolamento Europeo per la privacy, mi chiama un amico perché un suo cliente aveva bisogno di aiuto. Stava sostenendo il controllo della Guardia di Finanza per quello che riguarda la gestione dei dati sulla privacy. A parte due o tre irregolarità sulla designazione degli addetti al trattamento dei dati, che abbiamo rimesso un po’ al volo, il problema è sorto quando I finanzieri hanno guardato il sito dell’azienda. Vi assicuro, il sito di uno studio di commercialisti che non aveva nemmeno il modulino per la raccolta dei dati, un puro sito vetrina.

Ebbene, per via della mancanza del banner di protezione dai cookies, (per la cosiddetta direttiva e-Privacy) questo commercialista si è visto comminare una multa di 12.000 €. È evidente che questa è una multa assolutamente spropositata per una trasgressione che non reca danno a nessuno. Si tratta solo di una informazione mancata al visitatore e l’installazione di cookies non desiderati. Per farti comprendere a che livelli si può spingere il controllo, in totale de-correlazione fra danno effettivo all’interessato e sanzione di misure spropositate.

Il metodo S.I.C.U.R. di GDPRfacile

Ho messo apunto il metodo che ti ho descritto prima, GDPR facile, nell’arco degli ultimi 2 anni dopo 15 di esperienza nel settore. Se mi segui da tempo, probabilmente sai già che ISO 9001 facile è il nostro cavallo di battaglia da tempo, ma GDPR facile è nato più di recente per mettere in grado mangaer e imprenditori di conformarsi al regolamento della privacy anche in autonomia senza ricorrere a consulenti.

In puro stile ISO 9001 facile, anche questo percorso è assolutamente guidato, passo per passo, tramite una piattaforma web che ti guida; in ogni fase, trovi la documentazione da scaricare, personalizzabile, con i video tutorial che ti guidano e ti evitano di commettere errori. Inoltre sulla piattaforma trovi le registrazioni dei webinar e dei video formativi che rimane per sempre a tua disposizione per usarla come formazione obbligatoria per dipendenti attuali e futuri.

Quindi vai a guardarlo: www.gdprfacile.com , perché è possibile che nei prossimi tempi vengano aperte le iscrizioni.

A meno che ovviamente tu non sia già in regola; in tal caso ti faccio i miei complimenti: siete molto bravi! 👏👏👏

Un caro saluto, alla prossima.

Andrea Aulisi