Lo smartworking sicuro al tempo del Coronavirus

In questo periodo molte organizzazioni, sia pubbliche che private, hanno scoperto – per necessità – il lavoro a distanza, formalmente definito “lavoro flessibile”, telelavoro o smartworking. Fermo restando che il vero smart working non consiste nel farsi mandare un documento a casa via e-mail da un collega (o da sé stesso), lavorarci su fra le mura domestiche e poi rimandarselo in ufficio, cerchiamo di capire quali sono le modalità efficaci, efficienti e “sicure” per lavorare con continuità da casa o comunque da un sito che non è l’ufficio o la sede aziendale in genere.



In questo periodo molte organizzazioni ed i loro dipendenti, collaboratori e consulenti stanno sperimentando tecnologie che sono disponibili già da alcuni anni a basso costo o addirittura gratis, ma che necessitano di acquisire competenze informatiche di base per poterle utilizzare in modo produttivo.

Partendo dagli strumenti più semplici, i colossi dell’informatica e del web – come Microsoft e Google, ma anche Apple per i suoi utenti – hanno messo a disposizione, insieme alle relative suite di produttività (es. Office 365), anche alcuni strumenti per lavorare su documenti condivisi tramite cloud (ad es. Google Drive, One Drive), per comunicare in modo organizzato sul medesimo progetto, per organizzare riunioni via web (es. Skype for Business ora migrato in Teams, Google Meet, Hangout, oppure GoToMeeting, ecc.). Tali strumenti permettono di lavorare a distanza su documenti informatici, anche contemporaneamente, di condividere lo schermo e di vedersi in modo estremamente proficuo, anche per l’ambiente. Infatti, un effetto collaterale benefico di questa emergenza coronavirus è la riduzione del traffico – e quindi dell’inquinamento – nelle strade e l’eliminazione della carta, ovvero della stampa di documenti, quando non necessaria.

Le aziende più strutturate avevano già previsto modalità di “telelavoro” nelle quali il PC utilizzato dal dipendente fuori sede poteva collegarsi direttamente ai sistemi informatici aziendali tramite VPN.

Per fare questo passo ulteriore, e collegarsi tramite internet ai sistemi aziendali, occorrono maggiori competenze del reparto sistemistico aziendale (troppo spesso ridotto all’osso o demandato all’esterno a consulenti che magari in questo momento sono molto impegnati) ed altre tecnologie.

Il mercato degli applicativi gestionali ha favorito questa trasformazione attraverso il rilascio di applicativi web che non necessitano di installazione su server in azienda o comunque che non funzionano in tecnologia client-server, ma possono essere resi accessibili via web da qualsiasi parte del mondo, dunque anche da casa propria, anche se si è in quarantena, ma si gode di ottima salute!

Chiaramente l’utilizzo di tutti questi strumenti “innovativi” non può essere realizzato da un giorno all’altro in modo efficace ed efficiente, occorrerebbe un periodo di formazione del personale e di test. Ma l’emergenza non ci concede questo tempo e – come al solito – siamo costretti ad operare in modalità diverse a fronte di un evento destabilizzante. È giocoforza ricordare che proprio in questi giorni è uscita la versione italiana della norma UNI EN ISO 22301:2019 sui sistemi di gestione della continuità operativa, ovvero sulla business continuity. Ma quante aziende avevano un piano di business continuity che considerasse lo scenario della pandemia o comunque dell’assenza forzata dal lavoro di numerose persone?

Dunque molti sono costretti a improvvisare, ma occorre pensare anche alla sicurezza delle attività lavorative a distanza, ovvero occorre ragionare in termini di “security”, mentre alla “safety” delle persone si pensa cercando di evitare il più possibile i contatti fisici.

Se con lo smartworking preveniamo i l corona-virus, siamo sicuri di prevenire anche i virus informatici, ovvero il malware che potrebbe far perdere la necessaria riservatezza, integrità e/o disponibilità ai nostri dati? Riusciamo a garantire il rispetto della normativa sulla protezione dei dati (GDPR)?

Ci viene in soccorso la UNI EN ISO 27002 (Linea Guida sui controlli di sicurezza delle informazioni), al punto 6.2.2 Telelavoro, ma non solo.  Tale norma ci insegna che:

«Dovrebbero essere attuate una politica e delle misure di sicurezza a suo supporto (del telelavoro) per proteggere le informazioni accedute, elaborate o memorizzate presso siti di telelavoro. »

Perciò le organizzazioni che permettono attività di telelavoro o smartworking – e in questo momento sono moltissime, anche a fronte della modifica normativa – dovrebbero emettere una policy che definisca le condizioni e le limitazioni al telelavoro, ovvero stabilire delle regole generali per gestire lo smartworking in modo sicuro, nelle diverse situazioni.

Gli aspetti da considerare dovrebbero essere i seguenti:

  • Il livello di sicurezza fisica del sito di telelavoro (es. l’abitazione del dipendente/collaboratore oppure il luogo pubblico dove esso può esercitare l’attività lavorativa), considerando gli edifici e l’ambiente circostante. In pratica consideriamo il fatto che se la postazione di lavoro non è all’interno della sede aziendale devono essere garantiti un accesso controllato in modo continuo delle persone estranee a documenti e dispositivi elettronici. L’abitazione ha una porta blindata e/o un sistema di allarme? La postazione di lavoro è facilmente accessibile da porte o finestre aperte?
  • L’ambiente di telelavoro proposto: l’azienda può prevedere l’utilizzo di determinati tipi di locali piuttosto che altri (es. divieto di lavorare in luoghi pubblici).
  • I requisiti per la sicurezza delle comunicazioni, tenendo in considerazione la necessità di accesso remoto ai sistemi interni dell’organizzazione (ad esempio l’accesso più sicuro è tramite VPN crittografata), la criticità delle informazioni che sono accedute e trasmesse attraverso il canale di comunicazione (ad es. dati personali appartenenti a categorie particolari di dati), nonché la criticità del sistema interno. Occorre cambiare il punto di vista: le comunicazioni non avvengono più all’interno dell’azienda, ma dall’interno all’esterno e viceversa e necessitano di essere protette con comunicazioni crittografate. Anche il semplice invio di e-mail dall’ufficio all’abitazione del dipendente dovrebbe comunque garantire trasmissioni sicure (es. con crittografia SSL/TLS) su un indirizzo privato approvato e l’accesso a siti sFTP dovrebbe essere preferito rispetto ai meno sicuri FTP.
  • La fornitura di accesso in modalità desktop virtuale che prevenga l’elaborazione e la memorizzazione di informazioni su dispositivi privati: se il dispositivo usato dal dipendente è il proprio PC casalingo – e non un notebook fornito dall’azienda – potrebbe essere opportuno non consentire il salvataggio di dati particolarmente riservati in locale, ma solo di lavorare in desktop remoto sul PC aziendale.
  • Le minacce di accesso non autorizzato alle informazioni o alle risorse da parte di altri soggetti che frequentano il luogo di lavoro flessibile, per esempio i famigliari e gli amici: evidentemente in un contesto privato possono esserci altri soggetti che non sono autorizzati ad accedere alle informazioni aziendali che potrebbero accedervi, pertanto occorre stabilire regole ferree con i dipendenti (es. divieto di divulgare password a conviventi).
  • L’uso di reti casalinghe e i requisiti o le limitazioni alla configurazione dì servizi wireless di rete: soprattutto se il collegamento alla rete aziendale non avviene tramite VPN è importante garantire la sicurezza della rete cablata o Wi-Fi dell’abitazione o di altro luogo ove si è abilitati a lavorare. Quasi tutti i dispositivi sono in grado di valutare se la rete Wi-Fi a cui ci si collega dispone almeno di un livello di sicurezza WPA2. In caso negativo occorre configurare adeguatamente il router/modem casalingo, se si è in un luogo pubblico meglio astenersi dalla connessione. In certi casi è l’azienda stessa a fornire una connessione sicura tramite scheda SIM 3G/4G.
  • Le politiche e le procedure per prevenire discussioni riguardo i diritti per la proprietà intellettuale sviluppatisi su dispositivi privati: è opportuno stabilire regole precise per chiarire al dipendente che eventuali progetti sviluppati in smartworking casalingo rimangono di proprietà dell’azienda.
  • L’accesso a dispositivi privati (per verificare la sicurezza del sistema o durante un’indagine), che potrebbero essere proibiti dalla legge. Se il dipendente usa un proprio dispositivo privato che contiene materiale illegale o viene usato per consultare siti illegali potrebbero esserci dei problemi.
  • Gli accordi di licenza del software tali per cui le organizzazioni potrebbero diventare responsabili per le licenze di software sulle workstation private di proprietà del personale o di utenti di terze parti. Chiaramente se il dipendente utilizza il proprio PC occorre che le licenze software siano conformi alla legge applicabile. Anche un Office con licenza Student o Privata non potrebbe essere usato per scopi aziendali o professionali. Eventuali indagini dell’Autorità potrebbero creare problemi al dipendente ed all’azienda.
  • Le protezioni dal malware e i requisiti per l’uso di firewall in caso di utilizzo di PC privati devono essere comunque garantiti. Sarebbe bene richiedere la presenza di un anti-malware ed un firewall di livello equivalente a quello aziendale (le licenze free degli antivirus sono da evitare).

In generale dovrebbero essere stabilite regole fra azienda e dipendente che definiscano quali dispositivi utilizzare, come utilizzarli, dove poter lavorare, quali misure di sicurezza occorre mantenere sempre, come gestire i backup delle informazioni e le stampe, quali informazioni si possono elaborare, se ci sono particolari restrizioni per il trattamento di dati personali appartenenti a categorie particolari di dati (art. 9 del GDPR), la gestione delle procedure di autenticazione e la gestione delle password, le attività non consentite dai dispositivi utilizzati anche per lavoro e così via.

Anche per attività che richiedono software particolari e costosi (es. editing grafico e progettazione CAD) i produttori di software stanno venendo incontro agli utenti con licenze non legate ad un particolare dispositivo fisico, ma utilizzabili, con il supporto del cloud, su dispositivi differenti, anche se non contemporaneamente.

Purtroppo sono tutti elementi che non si possono improvvisare da un giorno all’altro, ma che sarebbe opportuno considerare e gestire anche nell’emergenza.

Infine occorre considerare un problema di capacità: se un’azienda normalmente è strutturata per uno smartworking contemporaneo del 20% dei dipendenti (ad esempio una giornata lavorativa a settimana) e in questa situazione di emergenza il lavoro a distanza sale al 90%, probabilmente le reti e le VPN dovranno essere ridimensionati per supportare tutto il traffico, nella consapevolezza che le connessioni di rete delle abitazioni dei dipendenti potrebbero non garantire prestazioni sufficienti e questo problema potrebbe essere difficile da ovviare anche con connessioni tramite chiavette con SIM 4G se l’abitazione del dipendente si trova in una zona mal servita dai provider internet.




Il (web)marketing ai tempi del GDPR

Con l’avvento del GDPR si è complicata la gestione della privacy dei destinatari delle azioni di web marketing, attraverso strumenti quali mail-marketing, newsletter, social network, cookie, pixel, beacon, ecc.. Con l’evoluzione della tecnologia legata ai cookie ed altre tecnologie similari anche una semplice navigazione di un sito internet a scopo puramente informativo sta diventando sempre più complicata, sia per il gestore del sito, sia per i “naviganti” che si trovano a dover accettare cookie policy, informative privacy e trattamenti consentiti che se si leggesse tutto si impiegherebbe più tempo rispetto a quello dedicato alla lettura dei contenuti veri del sito.

La confusione che si è generata è in parte causata da una normativa non completamente definita e certa, fra vecchia Direttiva ePrivacy, Cookie Law, GDPR e – per il nostro Paese – Provvedimenti del Garante Privacy italiano precedenti al Regolamento 679/2016, ma comunque ritenuti validi, seppur necessitino di aggiornamento per la revisione del Codice Privacy italiano (D.Lgs 196/2003 novellato dal D. Lgs 101/2018) a fronte del GDPR.

Ma cerchiamo di far chiarezza su alcuni punti esaminando cosa dice la normativa e come essa viene intrepretata da fonti autorevoli, senza la pretesa di fornire soluzioni valide in tutte le situazioni e contesti, ma semplicemente fornire utili spunti di riflessione per gestire ogni caso nel modo corretto.

Un contesto classico è costituito da un’azienda, magari medio-piccola, che commissiona il rifacimento e/o la gestione del proprio sito web ad una società specializzata in comunicazione, web marketing e sviluppo di siti internet. Oppure a due diverse organizzazioni che curano la comunicazione online e offline e la gestione del sito.

In entrambe le situazioni la struttura (singolo professionista o società) che effettuerà le attività di mail-marketing (invio di newsletter e altro) attraverso strumenti web (es. Mail-up, Mailchimp, Voxmail,…. il panorama è vasto) che raccolgono l’insieme degli indirizzi e-mail (e forse anche nome, cognome, azienda, ecc.) dei destinatari si configura come Responsabile (esterno) del trattamento ai sensi dell’articolo 28 del Regolamento UE 679/2016. Questo, naturalmente, se tratta dati personali di clienti e contatti vari dell’azienda che gli ha commissionato il servizio, ovvero se anche solo uno degli indirizzi e-mail contiene i riferimenti del tipo nome.cognome@nomeazienda.com. Tale ruolo implica precise responsabilità in capo al soggetto che svolge il servizio di marketing diretto, necessariamente definiti attraverso un contratto o un atto di nomina a responsabile del trattamento a valenza contrattuale.

Le piattaforme utilizzate per inviare newsletter si configurano anch’esse come responsabili del trattamento perché conservano i dati dei destinatari e le relative azioni conseguenti in database in cloud. Generalmente questo è già formalizzato nel contratto di licenza d’uso dell’applicativo o documenti ad esso correlati. I principali players del mercato – se si legge con attenzione i relativi contratti – si sono anche ben cautelati contro la possibile accusa di trattamento illecito di dati personali, scaricando sul cliente-utilizzatore ogni responsabilità sulla fonte dei dati memorizzati nei loro cloud e sull’eventuale necessità di consenso.

La mancata formalizzazione del ruolo della società di web marketing lascia in capo al titolare del trattamento (l’azienda che commissiona il servizio) ogni responsabilità in caso di violazioni di dati personali che potrebbero verificarsi nel processo gestito dal fornitore.

Se l’attività di web marketing si spinge anche sulla gestione dei c.d. social (Linkedin, Facebook ed altri) occorre fare ancora più attenzione alla gestione di eventuali dati personali di terzi utilizzati. Le posizioni di Facebook, Linkedin, Instagram e Twitter rispetto alla gestione della privacy sono documentate nei rispettivi siti, ma attenzione alla gestione di alcuni social emergenti. Certamente se semplicemente postiamo contenuti promozionali sulla nostra pagina Facebook non c’è da preoccuparsi, ma se postiamo un video di un evento con persone riconoscibili su Tik Tok qualche problema in più dobbiamo porcelo.

Anche l’utilizzo di plugin social (i classici pulsanti di condivisione su Facebook, Linkedin, Twitter, ecc. dei contenuti del nostro blog) richiede un minimo di attenzione, anche se nel momento che un visitatore del nostro sito clicca sul pulsante di condivisione per pubblicare sul suo profilo Facebook un nostro articolo sta entrando a casa Facebook con tutti i consensi privacy che ha accettato quando si è iscritto al social network e le successive modifiche.

Quando utilizziamo cookie e tecnologie similari (pixel, beacon, plugin social, ecc.) legate a connessioni social ricordiamoci che sono già state comminate, dalle Autorità di Controllo dei vari Paesi, sanzioni molto elevate (a volte forse anche spropositate) per l’utilizzo troppo disinvolto di queste tecnologie. E ricordiamoci anche che il sig. Zuckenberg ha le spalle robuste ( ed un discreto patrimonio) per sopportare sanzioni stratosferiche, noi probabilmente no.

Prima di affrontare il problema dei cookie e delle tecnologie similari appena introdotto è però opportuno affrontare anche il ruolo del gestore del nostro sito web, ovvero del fornitore a cui abbiamo commissionato il rifacimento del sito e/o la sua manutenzione. Anch’esso si configura come responsabile esterno del trattamento dei dati personali se effettivamente “tratta” dati personali. Questo avviene se gestisce credenziali amministrative del sito web (ovvero può vedere e modificare qualsiasi informazione presente sul sito) e all’interno del medesimo sono presenti dati personali (nomi, cognomi, telefoni, e-mail personali, …). Questo può avvenire semplicemente se nel sito è presente un classico form di richiesta contatto nel quale l’utente può inserire dati personali. Apparentemente arriva solo una e-mail all’indirizzo aziendale inserito, ma per i siti gestiti attraverso un CMS (Content Management System, ad es. WordPress o Joomla per citare i più diffusi) questi dati rimangono nel database del CMS del sito, ospitato presso il provider scelto. Per non parlare poi dei siti che gestiscono registrazione di utenti per ricevere newsletter o l’accesso ad un’area riservata: anche tali informazioni naturalmente vengono conservate nel database del CMS.

La formalizzazione del contratto come responsabile del trattamento per la web agency che ci fornisce questi servizi è molto importante perché comporta la definizione delle misure di sicurezza sul sito o portale web. Il coltello sta dalla parte del manico per il committente che può imporre alla web agency misure di sicurezza che lui ritiene adeguate, o meglio dovrebbe approvare le misure di sicurezza che il fornitore intende implementare. L’adeguatezza di tali misure è un aspetto di una certa importanza perché in caso di violazioni di dati personali (i c.d. data breach) la responsabilità ricade sul titolare del trattamento e sul responsabile del trattamento (il gestore del sito) se nominato.

Naturalmente occorre sempre valutare l’impatto di un data breach per i diritti e le libertà delle persone fisiche: un conto è avere sul sito un elenco di contatti che hanno compilato il form di contatto fra cui figurano solo nomi e cognomi, molti dei quali di fantasia, ed indirizzi e-mail dal prefisso “.ru” di spammers o hacker; un altro è gestire sul portale i dati di esami diagnostici di pazienti di un poliambulatorio medico.

Anche in questo caso esistono due elementi della sicurezza: la sicurezza della piattaforma di hosting del sito e la sicurezza del sito medesimo. Nel primo caso le scelte più popolari di hosting presso fornitori specializzati internazionali e italiani (da Microsoft Azure ad Aruba) non devono preoccupare, sono tutti fornitori certificati ISO 27001 con datacenter provvisti di certificazioni specifiche e quant’altro per dormire sonni tranquilli. Viceversa il sito va gestito ed aggiornato: i CMS più popolari come WordPress vengono continuamente aggiornati per garantire maggior sicurezza ed esistono numerosi plugin per migliorare la sicurezza contro attacchi di forza bruta, spammers ed altro, ma bisogna installarli ed aggiornarli per garantire la protezione rispetto alle ultime vulnerabilità conosciute. Stesso discorso vale per il software di base della piattaforma di hosting (es. PHP, MySQL, ecc.). Non fare nulla per anni sul sito e subire una violazione non ci permette di dimostrare di aver adottato misure di sicurezza adeguate e di evitare le sanzioni conseguenti.

Ma di chi è la responsabilità della conformità del sito alla normativa applicabile? Quindi ci ricolleghiamo al discorso recedente sui cookie perché spesso solo chi ha sviluppato e gestisce il sito sa esattamente quali e quanti cookie vengono gestiti nel sito. Chi acquista il prodotto/servizio si aspetterebbe di riceverlo conforme alle norme, come quando si acquista un prodotto elettrico o si installa un impianto. Il sito o portale web soddisfa i requisiti di privacy by design come sancito dall’art. 25 del GDPR?

Il discorso sui cookie è diventato abbastanza complesso, sia dopo l’avvento del GDPR, sia con l’introduzione di nuove tecnologie atte a monitorare il comportamento sul web degli utenti; il tutto condito dal fatto che il nuovo Regolamento e-Privacy non è ancora stato pubblicato (doveva esserlo insieme al GDPR).

Quindi oggi il quadro è il seguente:

  • l’uso dei cookie è regolato dalla (vecchia) Direttiva e-Privacy (Cookie Law) e non dal GDPR;
  • la Cookie Law pone in capo al titolare l’obbligo di raccogliere un consenso da parte degli utenti prima di installare cookie sui loro dispositivi e di avviare il tracciamento delle attività tramite gli stessi cookie;
  • il consenso ai cookie deve essere “informato” e basato su un’esplicita azione positiva; tali azioni possono includere, in base alle disposizioni previste dalle singole autorità locali – e quindi anche dal Garante Privacy italiano-, il proseguimento della navigazione, come un click su un link o lo scorrimento della pagina, o altre modalità che richiedano all’utente di procedere attivamente;
  • la Cookie Law non richiede che il gestore del sito fornisca agli utenti la possibilità di gestire le preferenze di ogni singolo cookie direttamente dal sito o app, ma solo che si preveda un sistema chiaro per ottenere un consenso informato, oltre a un mezzo per la revoca del consenso e che garantisca, attraverso un blocco preventivo, che non venga effettuato alcun trattamento mediante cookie prima che il consenso sia stato effettivamente acquisito;
  • la Cookie Law non richiede di elencare in dettaglio i cookie di terza parte utilizzati, ma solo di indicarne la categoria di appartenenza e la finalità di trattamento;
  • sebbene la Cookie Law non imponga al gestore del sito di offrire all’utente la possibilità di gestire il consenso per i cookie di terza parte direttamente dal proprio sito o app, è necessario informare gli utenti dell’utilizzo di tali cookie e delle finalità di trattamento, insieme con un riferimento alle relative privacy/cookie policy ed alle eventuali modalità di revoca del consenso (disabilitazione dei cookie).

Dal punto di vista normativo la difficoltà nell’interpretazione della corretta gestione dei cookie e di altre tecnologie similari risiede nel fatto che l’attuale normativa di riferimento, la direttiva ePrivacy (Direttiva 2002/58/CE del Parlamento Europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche) è in fase di aggiornamento e non è stata abrogata direttamente dal Regolamento UE 2016/679 (GDPR). Quindi, la normativa precedente e il GDPR devono convivere nella regolamentazione di molti aspetti tra cui la problematica dei cookie. Dal punto di vista tecnico, i cookie sono in veloce e rapida evoluzione e spesso si fatica a individuarne la corretta gestione dal punto di vista normativo.

Anche recenti sentenze a livello europeo hanno fatto temere i gestori di alcuni siti di non essere a norma secondo la normativa privacy vigente.

Mentre da alcune parti si leggono interpretazioni più restrittive secondo le quali ogni sito che utilizzi non solo cookie tecnici, ma anche cookie analitici e di terze parti in grado di monitorare in qualche modo il comportamento degli utenti, inoltre dovrebbe richiedere esplicito consenso all’utente per ogni singola categoria di cookie e dare la possibilità di modificare tale consenso; altri continuano a gestire i cookie con un consenso per l’impiego di tutti i cookie basato su un semplice movimento del mouse sulla pagina web oppure del tipo “se continui a navigare nel sito accetti l’uso dei cookie”. I siti che hanno interpretato in maniera più restrittiva la normativa sui cookie legandola al consenso richiesto dal GDPR sono comunque davvero pochissimi. Tale sistema di gestione dei cookie e dei relativi consensi è davvero pesante, lato sito web, ma potrebbe essere demotivante anche per i “naviganti”. Non a caso sono nati plugin quali “I don’t care about cookies” di Chrome.

Considerando che gran parte dei cookie sono di fatto anonimi, in quanto non permettono l’identificazione di una persona fisica che naviga sul nostro sito web, ma solo di un identificativo di un utente anonimo, forse dire semplicemente che il sito utilizza dei cookie e se vuoi disabilitarli ti leggi la cookie policy che ti spiega dove trovare le istruzioni per disabilitare i vari tipi di cookie nei diversi browser non è poi un approccio così sbagliato.

Interessante è la Guida ai cookie e tecnologie similari pubblicata dall’ICO che esamina nel dettaglio la situazione normativa sui cookie in questo momento di transizione, con numerosi riferimenti a normative – tra cui ovviamente il PECR (The Privacy and Electronic Communications – EC Directive- ) Regulations) del 2003 – e linee guida sull’argomento. Tra l’altro, si legge nella guida, che il responsabile della corretta gestione del sito è identificabile nel gestore del sito, non nel titolare del trattamento, ovvero il proprietario del sito, colui che lo ha registrato e ne paga il relativo canone.

Questa interpretazione aumenta le responsabilità in capo al web developper e al web manager, come prospettato in precedenza.

Ma la difficile interpretazione di aspetti che sono normati dalla Direttiva e-Privacy e dal GDPR non riguarda solo i cookie, ma tutto l’ambito del digital marketing. E purtroppo anche le interpretazioni dell’EDPB (Opinion 05/2019 e Statement 03/2019) non chiariscono in pratica come operare in modo conforme. Questa confusione potrà portare a sanzioni limitate oppure a sanzioni fortemente contestabili e, quindi, che non saranno rese effettive.

Altro aspetto non proprio chiaro è quello del marketing diretto svolto rifacendosi al legittimo interesse come base giuridica del trattamento a fronte di quanto scritto nel Considerando 47 del GDPR.

L’invio di newsletter a clienti e contatti vari (i cui nominativi sono stati raccolti chissà quando in situazioni varie quali incontri commerciali, fiere ed altri eventi e così via) è lecito sulla base del legittimo interesse del titolare del trattamento? È necessario richiedere il consenso dell’interessato? Ma se non lo riesco ad ottenere per pigrizia dell’interlocutore non posso più inviare le mie newsletter? Ma i miei concorrenti lo fanno!

Ecco alcune frasi tipiche degli uffici commerciali e del marketing di diverse organizzazioni.

Probabilmente in tema di accountability un CRM che è in grado di raccogliere varie informazioni sui nostri contatti commerciali – tra cui la data e le modalità di acquisizione dei dati personali, lo stato di cliente o prospect a cui è stata fatta un’offerta in passato, ecc. – potrebbe aiutare molto per dimostrare di aver seguito procedure coerenti con i principi del GDPR.

In attesa della pubblicazione della versione definitiva del Regolamento e-Privacy occorre pertanto orientarsi in questa disciplina con le dovute cautele e, soprattutto, documentando ogni decisione presa coerentemente con la propria interpretazione della normativa.

 




Pubblicato l’Elenco degli Innovation Manager

Il Ministero dello Sviluppo Economico (MISE) ha pubblicato nei giorni scorsi l’Elenco degli Innovation Manager, ovvero dei consulenti liberi professionisti e delle società di consulenza che potranno aiutare le aziende che ne faranno domanda a sviluppare l’innovazione tecnologica ed organizzativa dei loro processi usufruendo di importanti agevolazioni statali.

Le indicazioni dettagliate per le imprese che desiderano usufruire di questo finanziamento si possono trovare al sito del MISE cliccando QUI.

In pratica una Piccola o Micro Impresa può usufruire di un Voucher per consulenza negli ambiti previsti dal Decreto Ministeriale del 30 agosto 2019 per il 50% delle spese sostenute fino ad un massimo di € 80.000. Per imprese più grandi e Reti di Impresa l’agevolazione è proporzionalmente inferiore.

Un articolo che illustra in modo chiaro e preciso le modalità di erogazione del finanziamento si può trovare a questo link.

Poiché l’occasione è ghiotta per le aziende, ma anche per i consulenti (si può ottenere un contratto di consulenza fino a € 80.000 facendone pagare al cliente solo la metà), occorre fare attenzione – lato impresa che vuole innovare – alla scelta dell’Innovation Manager giusto; infatti facendo una semplice ricerca su Google si trovano diversi siti che parlano dell’argomento, alcuni dei quali che pubblicano elenchi ristretti o vetrine di Innovation Manager con lo scopo di mettere in evidenza solo i profili che si desidera o quelli che hanno pagato per comparire nella vetrina.

Bene l’unico elenco ufficiale e completo degli Innovation Manager (circa 9000) approvati dal MISE è reperibile a questo link Elenco Innovation Manager MISE.

Ogni consulente/società di consulenza è suddiviso per regione dove intende operare e per ambito di specializzazione. Dunque in base al tipo di progetto che l’impresa intende sviluppare dovrà rivolgersi ad uno degli Innovation Manager che presentano i requisiti di specializzazione adeguati.

E’ opportuno chiarire che le specializzazioni dichiarate – ed in generale tutti i requisiti dichiarati dagli Innovation Manager – non sono stati probabilmente verificati dal MISE con ulteriore documentazione oltre ai curriculum vitae presentati, sebbene tutti i candidati abbiano sottoscritto una dichiarazione ai sensi del DPR 445/2000 sulla veridicità di quanto dichiarato.

La cattiva notizia è che i tempi per le Imprese per richiedere il Voucher Innovazione sono strettissimi (scadenza 26/11/2019, salvo proroghe.

Al link seguente Scheda Innovation Manager potrete trovare la scheda del sottoscritto.




Fatturazione elettronica? Si grazie

Come tutti ormai sanno la fatturazione elettronica B2B è diventata obbligatoria dallo scorso 1° gennaio per tutti o quasi.

Al di là degli oserei dire inevitabili problemi tecnici che si stanno rilevando per mettere a regime questa rivoluzione contabile e fiscale del nostro Paese, credo sia opportuno capire meglio gli effetti di questa innovazione.



Già perché di una grande innovazione tecnologica si tratta
ed il fatto che il nostro Paese sia tra I primi ad adottarla in Europa deve,
una volta tanto, farci pensare positivo, di essere all’avanguardia. Invece
molti dicono: «ma gli altri Paesi non ce l’hanno!»

Come tutte le innovazioni occorre un po’ di impegno e di
risorse per arrivare a regime, ma questo non deve far ritenere che sia una cosa
sbagliata. Occorrerà “soffrire” un po’ per imparare ed abituarsi a questa nuova
modalità di fatturazione, ma alla fine i vantaggi saranno notevoli.

Da parte dello Stato e del Fisco (Agenzia delle Entrate) ci
saranno innumerevoli vantaggi: comunicazione tempestiva delle fatture emesse,
maggior controllo su potenziali evasioni fiscali ed altri reati, omogeneità dei
dati in formato elettronico standard, maggior possibilità di effettuare
controlli incrociati, ecc.

Ma vorrei analizzare i vantaggi dal punto di vista delle
imprese e dei professionisti, fermo restando che bisogna dare per scontato che
la possibilità di evasioni e truffe ai danni dello Stato non deve essere
considerata una penalizzazione.

Premesso ciò il nuovo sistema obbliga le imprese ed i professionisti
(eventualmente attraverso i rispettivi commercialisti) a dotarsi di un applicativo
web per l’invio delle fatture elettroniche (o di adottare quello messo a
disposizione dalla AE), A parte singoli liberi professionisti o imprese
individuali di imprenditori di ridotte capacità di utilizzo di strumenti
informatici, la scelta di adottare la soluzione proposta dal proprio software
gestionale oppure di dotarsi di un nuovo applicativo dedicato è sicuramente
quella vincente.

Tali soluzioni permetteranno alle aziende di disporre delle
fatture attive già registrate in contabilità al momento dell’emissione e del
relativo pagamento e di registrare le fatture passive al momento della
ricezione, o poco tempo dopo, con un minimo inserimento di dati. Questo
significa eliminazione completa del documento cartaceo e riduzione della
probabilità di commettere errori, ovvero riduzione dei costi del processo
contabile. Soprattutto per le piccole imprese, che magari emettevano le fatture
con un software e poi il consulente fiscale le reinseriva nel proprio
applicativo di contabilità.

Niente più pile di carta di fatture da registrare (e da pagare),
niente più fatture non ricevute con inevitabili solleciti del fornitore, niente
più paure che un’errata registrazione possa comportare sanzioni fiscali.

Per arrivare al processo amministrativo-contabile perfetto
basterebbe rendere automatici i pagamenti in base ai termini pattuiti, ma
questo è un altro discorso… sebbene volendo lo Stato potrebbe ovviare a questa
mala-abitudine di molte imprese italiane di ritardare I pagamenti oltre ogni
limite.

Certamente questa rivoluzione dei processi contabili porterà
dei vantaggi alle aziende che avranno saputo cogliere questa opportunità per
migliorare la propria efficienza. Chi avrà deciso di affidarsi a servizi di
fatturazione elettronica di terzi, ad esempio della Banca o di provider a basso
costo, piuttosto che sposare le soluzioni integrate in un proprio gestionale, pagherà
dazio nei prossimi anni perché si troverà a duplicare le registrazioni o a
pagare uno Studio Commercialista esterno per un servizio in più. A proposito
dei Commercialisti: molti di loro che hanno tenuto la contabilità dei clienti
si vedranno eliminare questo servizio per i clienti che avranno deciso di
seguire il proprio applicativo gestionale, dunque i compensi per le loro
prestazioni dovranno inevitabilmente diminuire, magari non subito, ma nel medio
periodo.

Purtroppo oggi esistono imprese che ancora non dispongono di
un software gestionale, almeno per gestire ordini e fatture, e forse avranno
colto anche loro questa opportunità di informatizzare la gestione di alcuni
processi. Parliamoci chiaro, un’impresa che fattura almeno 500 mila euro
oggigiorno non può non disporre di un software gestionale per la propria
attività.

La rivoluzione dei processi contabili, forzata dalla
fatturazione elettronica, poterà anche ad una rivalutazione nelle risorse umane
e delle relative competenze.

Anche certe abitudini delle nostre imprese di fatturare le
prestazioni a scadenze definite (ad es. metà e fine mese) dovranno essere
riviste; perché a parte il primo periodo di messa a regime della fatturazione
elettronica, fra pochi mesi per emettere una fattura con data ad es. 30 maggio,
non si potrà aspettare il 5 o 6 giugno e i tempi fra consuntivazione delle
vendite di prodotti e servizi e loro fatturazione dovranno essere rivisti.

Da un lato, dunque, cerchiamo di capire bene come funzionerà
questo nuovo sistema, dall’altro pensiamo anche come riprogettare il processo
contabile per non trovarsi in difficoltà e non dover sopportare maggiori costi.

Infine, il problema di privacy, evidenziato dal Garante per
la Protezione dei Dati Personali quando ormai mancava poco tempo all’avvio
della fatturazione elettronica obbligatoria fra privati.

Si potrebbe osservare che ci potevano pensare prima, Agenzia
delle Entrate nel progettare il sistema e Garante nell’esaminare il contesto.

In realtà sono stati posti molti interrogativi, anche
piuttosto inquietanti, sul possibile utilizzo dei dati di fatturazione
elettronica gestiti nelle varie piattaforme software e dai provider di conservazione
sostitutiva.

Mi sembra chiaro che è a prescindere vietato sfruttare i
dati presenti nelle piattaforme per ricavare dati statistici significativi,
salvo che i titolari di tali dati non ne concedano il permesso.

Sul fronte più squisitamente tecnico della sicurezza
informatica ci si pone l’interrogativo se siano sicure tutte queste fatture,
anche contenenti dati sensibili se relative a prestazioni sanitarie, nei
database conservati dai provider dei vari applicativi per la fatturazione
elettronica. E il famigerato SDI dell’Agenzia delle Entrate?

Verrebbe invece da chiedersi quanto siano sicuri i dati
conservati nei software gestionali di contabilità nei vari server aziendali (o
PC di piccole imprese e professionisti della sanità), relativamente alle
fatture gestite informaticamente finora.




Fatturazione elettronica? Si grazie

Come tutti ormai sanno la fatturazione elettronica B2B è diventata obbligatoria dallo scorso 1° gennaio per tutti o quasi.

Al di là degli oserei dire inevitabili problemi tecnici che si stanno rilevando per mettere a regime questa rivoluzione contabile e fiscale del nostro Paese, credo sia opportuno capire meglio gli effetti di questa innovazione.



Già perché di una grande innovazione tecnologica si tratta
ed il fatto che il nostro Paese sia tra I primi ad adottarla in Europa deve,
una volta tanto, farci pensare positivo, di essere all’avanguardia. Invece
molti dicono: «ma gli altri Paesi non ce l’hanno!»

Come tutte le innovazioni occorre un po’ di impegno e di
risorse per arrivare a regime, ma questo non deve far ritenere che sia una cosa
sbagliata. Occorrerà “soffrire” un po’ per imparare ed abituarsi a questa nuova
modalità di fatturazione, ma alla fine i vantaggi saranno notevoli.

Da parte dello Stato e del Fisco (Agenzia delle Entrate) ci
saranno innumerevoli vantaggi: comunicazione tempestiva delle fatture emesse,
maggior controllo su potenziali evasioni fiscali ed altri reati, omogeneità dei
dati in formato elettronico standard, maggior possibilità di effettuare
controlli incrociati, ecc.

Ma vorrei analizzare i vantaggi dal punto di vista delle
imprese e dei professionisti, fermo restando che bisogna dare per scontato che
la possibilità di evasioni e truffe ai danni dello Stato non deve essere
considerata una penalizzazione.

Premesso ciò il nuovo sistema obbliga le imprese ed i professionisti
(eventualmente attraverso i rispettivi commercialisti) a dotarsi di un applicativo
web per l’invio delle fatture elettroniche (o di adottare quello messo a
disposizione dalla AE), A parte singoli liberi professionisti o imprese
individuali di imprenditori di ridotte capacità di utilizzo di strumenti
informatici, la scelta di adottare la soluzione proposta dal proprio software
gestionale oppure di dotarsi di un nuovo applicativo dedicato è sicuramente
quella vincente.

Tali soluzioni permetteranno alle aziende di disporre delle
fatture attive già registrate in contabilità al momento dell’emissione e del
relativo pagamento e di registrare le fatture passive al momento della
ricezione, o poco tempo dopo, con un minimo inserimento di dati. Questo
significa eliminazione completa del documento cartaceo e riduzione della
probabilità di commettere errori, ovvero riduzione dei costi del processo
contabile. Soprattutto per le piccole imprese, che magari emettevano le fatture
con un software e poi il consulente fiscale le reinseriva nel proprio
applicativo di contabilità.

Niente più pile di carta di fatture da registrare (e da pagare),
niente più fatture non ricevute con inevitabili solleciti del fornitore, niente
più paure che un’errata registrazione possa comportare sanzioni fiscali.

Per arrivare al processo amministrativo-contabile perfetto
basterebbe rendere automatici i pagamenti in base ai termini pattuiti, ma
questo è un altro discorso… sebbene volendo lo Stato potrebbe ovviare a questa
mala-abitudine di molte imprese italiane di ritardare I pagamenti oltre ogni
limite.

Certamente questa rivoluzione dei processi contabili porterà
dei vantaggi alle aziende che avranno saputo cogliere questa opportunità per
migliorare la propria efficienza. Chi avrà deciso di affidarsi a servizi di
fatturazione elettronica di terzi, ad esempio della Banca o di provider a basso
costo, piuttosto che sposare le soluzioni integrate in un proprio gestionale, pagherà
dazio nei prossimi anni perché si troverà a duplicare le registrazioni o a
pagare uno Studio Commercialista esterno per un servizio in più. A proposito
dei Commercialisti: molti di loro che hanno tenuto la contabilità dei clienti
si vedranno eliminare questo servizio per i clienti che avranno deciso di
seguire il proprio applicativo gestionale, dunque i compensi per le loro
prestazioni dovranno inevitabilmente diminuire, magari non subito, ma nel medio
periodo.

Purtroppo oggi esistono imprese che ancora non dispongono di
un software gestionale, almeno per gestire ordini e fatture, e forse avranno
colto anche loro questa opportunità di informatizzare la gestione di alcuni
processi. Parliamoci chiaro, un’impresa che fattura almeno 500 mila euro
oggigiorno non può non disporre di un software gestionale per la propria
attività.

La rivoluzione dei processi contabili, forzata dalla
fatturazione elettronica, poterà anche ad una rivalutazione nelle risorse umane
e delle relative competenze.

Anche certe abitudini delle nostre imprese di fatturare le
prestazioni a scadenze definite (ad es. metà e fine mese) dovranno essere
riviste; perché a parte il primo periodo di messa a regime della fatturazione
elettronica, fra pochi mesi per emettere una fattura con data ad es. 30 maggio,
non si potrà aspettare il 5 o 6 giugno e i tempi fra consuntivazione delle
vendite di prodotti e servizi e loro fatturazione dovranno essere rivisti.

Da un lato, dunque, cerchiamo di capire bene come funzionerà
questo nuovo sistema, dall’altro pensiamo anche come riprogettare il processo
contabile per non trovarsi in difficoltà e non dover sopportare maggiori costi.

Infine, il problema di privacy, evidenziato dal Garante per
la Protezione dei Dati Personali quando ormai mancava poco tempo all’avvio
della fatturazione elettronica obbligatoria fra privati.

Si potrebbe osservare che ci potevano pensare prima, Agenzia
delle Entrate nel progettare il sistema e Garante nell’esaminare il contesto.

In realtà sono stati posti molti interrogativi, anche
piuttosto inquietanti, sul possibile utilizzo dei dati di fatturazione
elettronica gestiti nelle varie piattaforme software e dai provider di conservazione
sostitutiva.

Mi sembra chiaro che è a prescindere vietato sfruttare i
dati presenti nelle piattaforme per ricavare dati statistici significativi,
salvo che i titolari di tali dati non ne concedano il permesso.

Sul fronte più squisitamente tecnico della sicurezza
informatica ci si pone l’interrogativo se siano sicure tutte queste fatture,
anche contenenti dati sensibili se relative a prestazioni sanitarie, nei
database conservati dai provider dei vari applicativi per la fatturazione
elettronica. E il famigerato SDI dell’Agenzia delle Entrate?

Verrebbe invece da chiedersi quanto siano sicuri i dati
conservati nei software gestionali di contabilità nei vari server aziendali (o
PC di piccole imprese e professionisti della sanità), relativamente alle
fatture gestite informaticamente finora.




Chi è il DPO?

privacyChi è realmente il Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO), figura prevista dal Regolamento UE 679/2016 (GDPR)?

Forse sarebbe meglio rispondere anche ad altre domande:

  • Cosa fa il DPO?
  • Quali requisiti deve possedere?
  • A chi serve il DPO?

Il Garante italiano per la Protezione dei Dati Personali e le Linee-guida del WP243, sviluppate dall’apposito Gruppo di Lavoro Articolo 29 a livello europeo, ci vengono in aiuto, ma non bastano a disperdere il polverone che si sta facendo da ogni parte attorno a questa figura.

Si legge da varie fonti di “Corsi specialistici per DPO”, “Esami per qualifiche da DPO”, “migliaia di posti di lavoro come DPO” e così via. È tutto al vero?

Vediamo anzitutto quali sono i requisiti di un DPO o RPD che dir si voglia.

Il Responsabile della Protezione dei Dati (RPD o DPO), nominato dal titolare del trattamento o dal responsabile del trattamento, dovrà:

  1. Possedere un’adeguata conoscenza della normativa e delle prassi di gestione dei dati personali, anche in termini di misure tecniche e organizzative o di misure atte a garantire la sicurezza dei dati. Non sono richieste attestazioni formali o l’iscrizione ad appositi albi professionali, anche se la partecipazione a master e corsi di studio/professionali può rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenze.
  2. Adempiere alle sue funzioni in piena indipendenza e in assenza di conflitti di interesse. In linea di principio, ciò significa che il RPD non può essere un soggetto che decide sulle finalità o sugli strumenti del trattamento di dati personali.
  3. Operare alle dipendenze del titolare o del responsabile oppure sulla base di un contratto di servizio (RPD/DPO esterno).

Il titolare o il responsabile del trattamento dovranno mettere a disposizione del Responsabile della Protezione dei Dati le risorse umane e finanziarie necessarie all’adempimento dei suoi compiti.

Leggendo queste righe si evince che non possono esistere corsi per DPO che qualifichino per questo ruolo, né elenchi o albi. Ovviamente tutti i “corsi per DPO” possono essere più o meno validi per svolgere questa mansione in futuro, ma non forniscono la “patente” per farlo.

Le competenze del DPO (insieme di livello di istruzione, conoscenze, capacità/abilità ed esperienza…) devono svariare fra competenze legali, informatiche ed organizzativo-gestionali. Naturalmente il RPD deve conoscere bene il Regolamento UE 679/2016, ma anche il D.Lgs 196/2003 che costituisce tuttora la normativa sulla privacy italiana da oltre 13 anni ed i vari provvedimenti del Garante italiano su videosorveglianza, Amministratori di Sistema, ecc..

Quali saranno le competenze prevalenti? Fino a che livello un DPO deve sapere di sicurezza informatica?

Sicuramente sono più importanti competenze di base consolidate a 360° negli ambiti legale, informatico e gestionale, piuttosto che essere esperti di una materia e non conoscere nulla delle altre. Infatti il DPO non dovrà configurare un firewall (attività che potrà delegare a tecnici sistemisti), ma dovrà sapere cos’è e conoscere i suoi principi di funzionamento.

Per capire quali competenze precise dovrà possedere il DPO occorre comprendere che il DPO è un ruolo da ricoprire in una determinata organizzazione, dunque sarà importante che il DPO conosca discretamente i processi gestionali dell’organizzazione in cui dovrà operare ed in funzione del tipo di organizzazione dovrà possedere requisiti minimi differenti. Per esempio il DPO di un Ospedale o di una organizzazione della Sanità Privata non dovrà necessariamente avere le stesse competenze del DPO di un Comune, di un Ufficio Giudiziario o di una Società che sviluppa software per la profilazione di utenti. Quindi ad ognuno il suo DPO.

Infine sottolineiamo il fatto che il DPO deve essere indipendente dalle altre funzioni aziendali e dipendere solo dal titolare del trattamento, dunque in molte organizzazioni difficilmente una figura interna possiede questi requisiti.

 

Quindi, quali sono i compiti del DPO?

Il Responsabile della Protezione dei Dati dovrà, in particolare:

  • sorvegliare l’osservanza del Regolamento, valutando i rischi di ogni trattamento alla luce della natura, dell’ambito di applicazione, del contesto e delle finalità;
  • collaborare con il titolare/responsabile, laddove necessario, nel condurre una valutazione di impatto sulla protezione dei dati (DPIA);
  • informare e sensibilizzare il titolare o il responsabile del trattamento, nonché i dipendenti di questi ultimi, riguardo agli obblighi derivanti dal Regolamento e da altre disposizioni in materia di protezione dei dati;
  • cooperare con il Garante e fungere da punto di contatto per il Garante su ogni questione connessa al trattamento;
  • supportare il titolare o il responsabile in ogni attività connessa al trattamento di dati personali, anche con riguardo alla tenuta di un registro delle attività di trattamento.

Esaminando i suddetti punti emerge un ruolo un po’ da consulente e un po’ da auditor, ma con contorni non ben definiti. In base al tipo di organizzazione il DPO o RPD che dir si voglia dovrà svolgere compiti più o meno estesi, potrà essere supportato da un team di altre persone, interne o esterne all’organizzazione, che potranno essere specialisti in ambito informatico, legale o altro a seconda del settore di appartenenza. Ad esempio in una organizzazione sanitaria il DPO potrebbe essere supportato da esperti nel settore sanitario, ad esempio medici.

Anche un DPO esterno potrebbe assumere l’incarico avvalendosi di un team di collaboratori, anche per far fronte alle numerose richieste da parte degli interessati che potrebbero porre quesiti sulle modalità di trattamento dei propri dati personali.

Inoltre è da sottolineare il fatto che il DPO deve disporre anche di autonomia e risorse sufficienti a svolgere in modo efficace i compiti cui è chiamato ed è il titolare (o responsabile) del trattamento che ha l’onere di garantire ciò.

In definitiva il perimetro dei compiti del DPO andrebbe definito bene di caso in caso in apposito contratto o delega del titolare.

Si osserva che il GDPR impone al titolare o al responsabile del trattamento di pubblicare i dati di contatto del DPO e di comunicare i dati di contatto del DPO alle pertinenti autorità di controllo; dunque è un incarico ufficiale e pubblico, affinché tutti gli interessati al trattamento di dati personali effettuato dall’organizzazione possano contattare il DPO per richiedere informazioni sul trattamento dei dati che li riguardano.

Da ultimo, ma non di minore importanza: i DPO non rispondono personalmente in caso di inosservanza del GDPR, ma tale responsabilità ricade sempre e solo sul titolare o sul responsabile del trattamento.

 

 

Vediamo, infine, in quali casi è previsto il DPO, ovvero quando una organizzazione è obbligata a nominare un DPO.

Dovranno designare obbligatoriamente un RPD:

  1. amministrazioni ed enti pubblici, fatta eccezione per le autorità giudiziarie;
  2. tutti i soggetti la cui attività principale consiste in trattamenti che, per la loro natura, il loro oggetto o le loro finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Anche per i casi in cui il regolamento non impone in modo specifico la designazione di un RPD, è comunque possibile una nomina su base volontaria. Ma questa frase non farà effetto su quelle Società che pensano di nominare un DPO solo se strettamente obbligatorio per legge.

Si precisa che un gruppo di imprese o soggetti pubblici possono nominare un unico RPD.

Dunque un consulente esterno qualificato potrebbe assumere il ruolo di DPO, per così dire, in outsourcing, per diverse organizzazioni.

Gli esempi forniti nella Linea-guida del GdL Articolo 29 su chi effettivamente dovrà nominare un DPO in ambito privato forniscono qualche indicazione, ma non dirimono tutti i dubbi. Soprattutto il concetto di “larga scala” è molto dibattuto: preso atto che un medico di famiglia non tratta dati particolari (sanitari in questo caso) su larga scala, salendo sul gradino superiore di questa scala virtuale, quale soggetto, avente comunque un organico ridotto, tratta dati particolari su larga scala: un poliambulatorio privato, una clinica/ospedale privati, un Amministratore di Condominio, un fornitore di servizi di ristorazione collettiva?

Speriamo che non siano le sentenze a definire meglio la normativa che, qui come in altre parti, lascia ampio spazio all’interpretazione.

Da quanto esposto emerge una similitudine fra la figura del DPO – che deve proteggere i dati personali dell’individuo – e l’RSPP (Responsabile del Servizio Prevenzione e Protezione per la Sicurezza e Salute del Lavoro, secondo il D.Lgs 81/2009 e s.m.i.) – che deve garantire la sicurezza nei luoghi di lavoro -, con un distinguo, però: l’RSPP è responsabile anche legalmente in caso di incidente, mentre il DPO non è responsabile in caso di violazione dei dati personali.




Come sta la privacy ad un anno dall’attuazione del GDPR?

privacyIl Regolamento (Ue) 2016/679, noto anche come RGPD (Regolamento Generale sulla Protezione dei Dati) o GDPR (General Data Protection Regulation), troverà piena attuazione esattamente fra un anno da oggi, il 25 maggio 2018, ovvero al termine del periodo di transizione.

A seguito dell’interessante seminario svoltosi venerdì 19 maggio 2017 presso l’Ordine degli Ingegneri di Bologna sulle possibili forme di certificazione in ambito Privacy, è utile fare qualche riflessione sull’attuazione di questa nuova normativa nelle organizzazioni del nostro Paese.

Attualmente esistono alcuni documenti ufficiali che permettono di comprendere meglio come declinare i requisiti del GDPR nella propria organizzazione, tra i quali:

Al momento, però, le indicazioni fornite non sono in grado di fugare tutti i dubbi sull’applicazione del GDPR, anzi!

Il GDPR dà spazio a integrazioni dei requisiti in esso riportati per regolamentare situazioni specifiche per tipo di dati trattati e particolari legislazioni nazionali, sarà compito del Garante Italiano definire eventuali disposizioni integrative che avranno valore di Legge.

Esaminando i concetti principali del GDPR, quali responsabilizzazione (accountability) del titolare e del responsabile del trattamento, privacy by design, privacy by default, valutazione di impatto, valutazione dei rischi e “misure di sicurezza adeguate”, è facile individuare molti punti di debolezza di numerose organizzazioni italiane che, per mentalità, non sono abituate ad affrontare il problema della protezione dei dati personali con metodo e come una reale priorità. Per molti vertici aziendali la privacy è “solo una scocciatura” e il nuovo Regolamento un “ennesimo obbligo cui toccherà adeguarsi”, ma non tanto prima della scadenza. Come se bastasse fare quattro documenti per risolvere il problema per sempre (o per lo meno fino al prossimo cambiamento normativo)!.

Purtroppo questo “approccio” per essere conformi al GDPR deve cambiare, perché è una norma di stampo anglosassone (tipo “common law”, a dispetto della Brexit) che richiede una forte responsabilizzazione di coloro che ricopriranno il ruolo di titolari (rappresentanti legali per le società) e responsabili del trattamento.

L’affidamento all’esterno di dati personali, anche solo per adempimenti legislativi, come la preparazione delle buste paga demandate allo Studio di Consulenza del Lavoro, devono richiedere un’attenta analisi del contratto con il soggetto esterno e verifica che esso soddisfi tutti i requisiti in termini di misure di sicurezza per la protezione dei dati.

Certamente per le PMI che trattano solo dati personali di dipendenti e collaboratori, oltre a nominativi di referenti di clienti e fornitori, l’adeguamento al GDP non sarà di particolare impatto, ma basta demandare all’esterno ad un servizio via web come la gestione del personale oppure avere un sito internet di e-commerce che raccoglie dati di utenti per rendere la gestione un pochino più complessa.

Viceversa le organizzazioni che trattano dati particolari (i.e. sensibili), soprattutto se poco strutturate e se gestiscono tali dati insieme a fornitori di servizi mediante internet, dovranno cambiare il loro atteggiamento sulla privacy e valutare attentamente i rischi che corrono. Soprattutto non credano che basti far scrivere un DPS o “riesumare” quello precedentemente redatto prima che il Governo lo abolisse: la carta (o i documenti digitali) non bastano, occorre la consapevolezza e la sostanza di applicazione di regole comportamentali, misure di sicurezza fisica e logica (sistemi informatici) ritenute adeguate (da chi?) e instaurare con fornitori e partner rapporti contrattuali che prendano in considerazione anche il trattamento dei dati personali e la loro tutela.

Recenti eventi come i ransomware del tipo Wannacry potrebbero far piangere veramente i titolari di trattamenti di dati sanitari, il cui valore per gli hacker potrebbe essere ben superiore dei 300 dollari in Bitcoin. Il ricatto potrebbe essere non del tipo “se rivuoi i tuoi dati paga”, ma “se non vuoi che divulghi su internet i tuoi dati paga il riscatto”!. Ci sono stati già casi analoghi legati a ricatti a proprietari di diritti di serie TV americane molto più innocui.

Relativamente al ruolo del DPO, l’obbligo di nomina imposto dal Regolamento ricade in modo certo solo su Enti Pubblici, mentre le Organizzazioni che controllano in modo regolare e sistematico dati personali di interessati su larga scala e quelle che trattano dati particolari (traducibili con i dati sensibili del vecchio Codice Privacy, D.Lgs 196/2003) su larga scala o trattano dati relativi a condanne penali e reati non sono facilmente determinabili. Cosa significa “su larga scala”? Le indicazioni fornite hanno permesso di stabilire che un medico di base della Sanità Italiana non tratta dati sanitari su larga scala, ma come considerare strutture superiori come Farmacie, Ambulatori medici Privati, Cliniche Private? Gli Studi Legali devono nominare un DPO?

Sicuramente le competenze del DPO dovrebbero comprendere competenze legali (conoscenza di normative e leggi applicabili alla materia ed ai dati trattati dall’organizzazione titolare del trattamento), competenze informatiche (non necessariamente particolarmente approfondite, per esse può rivolgersi a tecnici specializzati come sistemisti ed esperti di sicurezza informatica) e gestionali-organizzative.

Relativamente alle forme di certificazione sulla privacy che, beninteso, non esimono i titolari ed i responsabili del trattamento da essere passibili delle sanzioni previste dal Regolamento e dal Garante Privacy Italiano in caso di infrazioni, occorre distinguere fra diversi tipi di certificazione:

  • Certificazione di prodotto o servizio, accreditata secondo ISO 17065, come ad es. lo schema ISDP 10003:2015 – Criteri e regole di controllo per la Certificazione dei processi per la tutela delle persone fisiche con riguardo al trattamento dei dati personali – Reg. EU 679/2016.
  • Certificazione delle figure Professionali della Data Protection (DPO, “Auditor Privacy”, “Privacy Officer” e “Consulente Privacy”).
  • Certificazione delle Aziende del Data Protection Management System in conformità al Codice di Condotta DPMS 44001:2016© ed al Reg. (UE) 679/2016.
  • Certificazione del sistema di gestione della sicurezza delle informazioni secondo la ISO 27001:2013.

Premesso che la certificazione accreditata secondo il Regolamento UE 679/2016, così come esposta dall’articolo 43 dello stesso RGPD, trova attualmente riscontri solo in standard e certificazioni afferenti allo schema di accreditamento ISO 17065 (certificazioni di prodotto o servizio), emergono le seguenti considerazioni:

  • Non si è ancora affermato un sistema di gestione della privacy riconosciuto che, sulla base della struttura HLS delle norme sui sistemi di gestione (ISO 9001, ISO 27001, ecc.), consenta di gestire la protezione dei dati con un approccio sistemico, basato sui processi e concetti come il risk based thinking e l’attuazione di azioni finalizzate ad affrontare i potenziali rischi sul trattamento di dati personali.
  • Il ruolo del Data Processor Officer (DPO o RPD), come è definito dal Regolamento, non corrisponde ad una figura professionale specifica avente determinati requisiti di competenza (istruzione scolastica e post scolastica, conoscenze normative e tecniche, esperienza nell’ambito privacy, partecipazione a corsi di formazione, superamento di esami o abilitazioni). Il DPO è piuttosto “un ruolo” che potrebbe richiedere competenze differenti a seconda della realtà in cui opera e della criticità della protezione dei dati personali nell’organizzazione stessa.
  • Tutti gli schemi e gli standard sopra indicati permettono di ridurre il rischio che il titolare del trattamento e gli eventuali responsabili incorrano in infrazioni nel trattamento di dati personali e, quindi, rischino infrazioni anche pesanti e/o gravi danni di immagine.

Per concludere, secondo il risk based thinking, quali rischi corrono le aziende che non sono adeguate al GDPR?

La probabilità di essere sanzionati a seguito di ispezioni del Nucleo Privacy della GdF è estremamente bassa, un po’ più alta per organizzazioni che trattano dati particolarmente critici (la valutazione è fatta in base al numero delle ispezioni avvenute negli ultimi anni).

La probabilità di incorrere in sanzioni o in risarcimento danni a causa di istanze di interessati che si sentono danneggiati nella loro privacy oppure in caso di incidenti di dominio pubblico è un po’ più alta.

L’impatto delle conseguenze nel caso si verifichino suddetti eventi negativi dipende dal tipo di organizzazione e dai dati trattati, può essere significativo o devastante a seconda dei casi.

Leggi anche l’articolo Impatti del Regolamento Privacy sullo sviluppo software.




Opportunità per le imprese con il Piano Industria 4.0

In questi mesi si sente parlare molto delle agevolazioni fiscali per le imprese relative al Piano Industry 4.0, promosso già dal Governo Renzi in autunno 2016. Cerchiamo, in questo articolo, di capire meglio quali sono le reali opportunità per le imprese ed i vincoli che la Legge pone per usufruire degli incentivi, anche per capire in quali situazioni conviene realmente investire in questa direzione, al fine di non trovarsi brutte sorprese ad investimenti effettuati.

Il focus del Piano Industria 4.0 è il settore manifatturiero, esso punta alla digitalizzazione delle imprese produttrici, anche se non sono completamente escluse le aziende di servizi. Il fine del Governo è quello di incrementare gli investimenti nelle imprese, che al momento latitano e vedono il nostro Paese indietro rispetto al resto d’Europa. La carenza di investimenti è molto probabilmente la principale causa della crescita bassa (in termini di “zero virgola”…) dell’Industria del nostro Paese, soprattutto se paragonata agli altri Paesi industrializzati dell’Europa.

Perché Industria 4.0? La prima rivoluzione industriale è avvenuta alla fine del 18° secolo con l’introduzione di potenza vapore per il funzionamento degli stabilimenti produttivi, la seconda rivoluzione industriale si colloca all’inizio del 20° secolo con l’introduzione dell’elettricità, dei prodotti chimici e del petrolio; la terza rivoluzione industriale è iniziata all’inizio degli anni ’70 con l’utilizzo dell’elettronica e dell’IT per automatizzare ulteriormente la produzione (robot industriali e computer). Ora, invece, nella quarta rivoluzione industriale, il concetto fondamentale è la connessione con un sistema di raccolta e gestione dei dati, collegamento a internet, IoT o Internet delle Cose (utilizzo di macchine intelligenti, interconnesse e collegate ad internet) ed altro ancora.

L’elemento caratterizzante del piano di incentivazione, dunque, è la connessione, fra diversi dispositivi (macchina-elaboratore, macchina-macchina, macchina-internet, macchina-dispositivo mobile, ecc.).

Le tecnologie coinvolte nel piano Industry 4.0 sono le seguenti:

  1. Advanced Manufacturing Solutions (Robot collaborativi interconnessi e rapidamente programmabili).
  2. Additive manufacturing (Stampanti in 3D connesse a software di sviluppo digitali).
  3. Augmented Reality (Realtà aumentata a supporto dei processi produttivi).
  4. Simulation (Simulazione tra macchine interconnesse per ottimizzare i processi).
  5. Horizontal/Vertical Integration (Integrazione informazioni lungo la catena del valore dal fornitore al consumatore).
  6. Industrial Internet (Comunicazione multidirezionale tra processi produttivi e prodotti)
  7. Cloud (Gestione di elevate quantità di dati su sistemi aperti).
  8. Cyber- security (Sicurezza durante le operazioni in rete e su sistemi aperti).
  9. Big Data and Analytics (Analisi di un’ampia base dati per ottimizzare prodotti e processi produttivi).

Evidentemente l’elenco è disomogeneo, ma in ogni caso indica alle imprese quali sono le tecnologie abilitanti per usufruire delle agevolazioni.

Fra le voci più significative vi è l’integrazione orizzontale e verticale.

L’integrazione verticale va dall’acquisizione di dati a livello produttivo, attraverso sensori, all’elaborazione dati tramite software gestionali: è l’integrazione che parte dal MES (Manufacturing Execution System) al sistema di Controllo di Gestione.

Sono diverse le soluzioni di integrazione orizzontale, ad esempio possono passare attraverso la connessione con il fornitore per migliorare la supply chain comprendendo soluzioni per la collaborazione, il planning, l’order management, il tracking per la logistica, il data analytics e molto altro ancora.

Nel piano Industria 4.0 le principali incognite per le imprese possono essere così riepilogate:

  • il rapporto costi/benefici dell’intervento;
  • la mancanza di competenze digitali interne;
  • la portata degli investimenti, che comunque rappresentano un costo che, ricordiamolo, viene finanziato solo se l’impresa è in utile;
  • la carenza di standard digitali;
  • l’incertezza sulla sicurezza dei dati (ad esempio nel caso della connessione attraverso Internet of Things e il Cloud Computing).

Su quest’ultimo punto il Piano Industria 4.0 ha pensato di introdurre il capitolo della Sicurezza delle Informazioni, anche relativamente ai dati gestiti in ambito IoT.

Per capire meglio il significato e la portata di tali incognite occorre precisare che – per chi ancora non lo sapesse – le agevolazioni sono costituite dall’iper-ammortamento (250% del valore del bene) e dal super-ammortamento (140% del valore del bene), che si applicano, nel primo caso, ai beni materiali acquistati, nel secondo anche ai beni immateriali.

L’elenco dei beni materiali e immateriali a cui è applicabile il super e iper ammortamento è stato ufficialmente pubblicato dal Ministero dello Sviluppo Economico (MISE) ed è scaricabile in allegato al presente articolo insieme alle linee guida del MISE stesso per l’applicazione delle agevolazioni.

Occorre precisare che per rientrare nel Piano Industria 4.0 ed usufruire degli incentivi occorre acquisire almeno un bene materiale rientrante nell’elenco, ovvero acquisire strumentazione atta a trasformare un’apparecchiatura/macchina preesistente in un “bene Industria 4.0” (caso del revamping di macchinari). In altre parole per poter usufruire del super ammortamento per l’acquisto di un bene immateriale, ad esempio un software, rientrante nelle categorie previste dalla Legge, occorre che il soggetto beneficiario del finanziamento acquisti anche un bene materiale; non è richiesto il collegamento fra bene materiale e beni immateriali acquistati per usufruire dell’agevolazione! Ad esempio, al limite un’impresa potrebbe acquistare un sistema di sensori per acquisire dati da una macchina produttiva (ad esempio temperature da un forno) ed applicare il super ammortamento all’acquisto di un sistema MES o big data analytics che non trattano i dati rilevati dalla macchina 4.0.

Tra i vincoli per poter usufruire dell’agevolazione vi è che l’investimento deve avvenire entro il 31/12/2017, con almeno un ordine ed un anticipo del 20% pagato entro il 31/12/2017 e con consegna del bene entro 30/06/2018. La perizia giurata di un ingegnere iscritto all’Albo o di un perito industriale  è necessaria per investimenti superiori a 500.000 € per il singolo bene, negli altri casi è sufficiente una autodichiarazione del Legale Rappresentante dell’impresa.

È evidente che il fattore tempo gioca un ruolo fondamentale nella decisione ed effettuazione di investimenti che, soprattutto nel caso di PMI, normalmente richiedono una valutazione abbastanza lunga ed incerta. Visto poi che la Legge non è di chiarissima interpretazione (si attende in questo mese una Circolare interpretativa dell’Agenzia delle Entrate su molti aspetti ambigui), alcune imprese rischiano di effettuare investimenti che poi non risulteranno ammissibili, magari trascinati dalle indicazioni di venditori di macchine e apparecchiature. Al proposito va ricordato che l’autodichiarazione del Legale Rappresentante ha risvolti penali in caso di non ammissibilità del bene; dunque esiste la concreta possibilità che molte aziende richiedano comunque la perizia giurata di un ingegnere abilitato per garantire il vertice aziendale contro brutte sorprese (costo non iper-ammortizzabile e dichiarazione mendace). Buona prassi sarebbe rivolgersi, prima di effettuare l’investimento, ad un consulente che possa indirizzare l’azienda ed il management non competente nelle tecnologie da acquisire e verso investimenti che, non solo siano ammissibili agli incentivi Industria 4.0, ma che risultino realmente utili per l’azienda nel medio-lungo periodo.

Fra i principali fattori inibitori nell’adottare le tecnologie incluse nel piano Industria 4.0 vi è sicuramente la scarsa cultura digitale delle PMI italiane e una mancanza di leadership digitale del management della PMI stessa.

Tra i processi che potrebbero trarre maggior vantaggio dall’implementazione di misure Industry 4.0 spiccano sicuramente le tematiche di pianificazione, schedulazione e controllo avanzamento della produzione e lo sviluppo  del prodotto/industrializzazione.

Il Piano Industria 4.0 è un percorso di trasformazione, non solo tecnologico, ma anche organizzativo e gestionale. Il fine dell’impresa deve essere l’incremento del valore per il cliente, anche attraverso il miglioramento dell’efficienza aziendale, la fornitura di soluzioni innovative, la proposta di servizi innovativi e migliorativi rispetto allo standard.

Per iniziare un progetto di Industria 4.0  è importante effettuare una valutazione iniziale finalizzata all’obiettivo Industry 4.0 per capire di cosa l’azienda realmente bisogno, quali sono gli elementi di possibile miglioramento e le opportunità da poter cogliere, ma anche dei rischi connessi agli investimenti.

Si ribadisce che i benefici per beni materiali e immateriali devono essere connessi attraverso il soggetto beneficiario, non direttamente fra gli asset fisici e immateriali, ma chiaramente un piano Industry 4.0 coerente dovrà prendere in considerazione l’interconnessione fra gli uni e gli altri, solo così facendo si otterrà il massimo nel miglioramento dell’efficienza dei processi aziendali.

Si ricorda che il software deve essere incluso nell’allegato B per poter rientrare nell’incentivo, mentre per i software c.d. “embedded” prevale il riferimento al bene iper-ammortizzabile nel quale è contenuto. Tale bene deve appartenere ai beni dell’allegato A alla Legge.

Infine non è ancora chiaro quali costi accessori (consulenza finalizzata all’utilizzo del bene) siano iper e super ammortizzabili, al proposito si attende la Circolare di chiarimento dell’Agenzia delle Entrate.

[Download non trovato]

[Download non trovato]

[Download non trovato]




RPO e RTO: come progettare il disaster recovery

In questo articolo parleremo ancora di business continuity, ovvero di business continuity plan ed in particolare della progettazione delle procedure di disaster recovery.

Molte organizzazioni che non predispongono un vero e proprio piano di continuità operativa (o business continuity plan, BCP), comunque hanno una procedura di disaster recovery, più o meno evoluta. Purtroppo, però, questa attività viene delegata quasi interamente ai responsabili ICT senza coinvolgere il management, i responsabili dei processi primari di business ed in particolare di quelli più critici.

Non che i responsabili ICT non siano in grado di progettare una procedura di disaster recovery adeguata, ma spesso sono loro stessi che stabiliscono i requisiti di base del disaster recovery, ovvero implicitamente definiscono gli obiettivi RTO e RPO che dovrebbero essere alla base della procedura.

Riprendiamo le definizioni di questi indici, già esposte in precedenti articoli, per capire meglio di cosa si tratta.

  • Recovery Point Objective (RPO) ovvero il punto (l’istante nel tempo) al quale le informazioni sono coerenti e possono essere ripristinate per consentire la ripresa delle attività (denominato anche Maximum Data Loss).
  • Recovery Time Objective (RTO): periodo di tempo entro il quale i servizi erogati, la produzione, i servizi di supporto e le funzionalità operative devono essere ripristinati dopo l’incidente che ha generato la discontinuità.

 

Facciamo un esempio per comprendere meglio il significato degli indici sopra esposti.

Supponiamo che una piccola organizzazione che opera nel settore dei servizi, denominata ALFA srl, decida di effettuare un backup incrementale dei propri dati con frequenza giornaliera su un NAS interno, mantenendo le ultime 7 versioni dei dati e che poi, per cautelarsi a fronte di eventuali catastrofi naturali che potrebbero rendere inutilizzabile il sistema informatico aziendale e tutti i backup salvati su NAS, effettui anche un backup completo su nastri DAT con cadenza settimanale. I nastri magnetici dell’ultimo backup settimanale sono conservati a casa del titolare, a 20 km di distanza dalla sede dell’azienda, il quale quando si porta via il backup restituisce quello della settimana precedente.

Qual è il valore di RPO e RTO per questa azienda?

Occorre distinguere fra diversi tipi di problemi (disastro):

  1. Si tratta di un crash del sistema che ha comportato la perdita dei soli dati (eventualmente anche dei supporti di memorizzazione) oppure
  2. Si tratta di un evento catastrofico che ha reso inutilizzabile l’intero server e l’infrastruttura informatica della sede di ALFA?

Evidentemente nel primo caso potrebbero essere sufficienti i backup su supporto NAS da ripristinare su un nuovo hard disk, reperibile in tempi brevi. Dunque il RTO potrebbe essere pari anche ad una sola giornata, dipende dal tempo che si impiega a ripristinare il sistema (tempi di acquisto dei nuovi supporti di memorizzazione, tempi di eventuale reinstallazione del sistema operativo del server e degli applicativi, ecc.). Il RPO invece è pari ad una giornata di lavoro o meno, a seconda dal tempo trascorso dall’ultimo backup giornaliero eseguito. In questo caso per valutare correttamente il RTO occorre capire quanto tempo si impiegherebbe a reinstallare il sistema, partendo dai supporti originali oppure da un’immagine del sistema creata attraverso l’impiego di macchine virtuali. Questa seconda soluzione, certamente più costosa della prima, potrebbe abbassare drasticamente il RPO.

Nel secondo caso il ripristino dell’operatività dipende anche dai danni generati alla sede dell’organizzazione: che si sia verificato un terremoto che ha reso inagibili i locali oppure un’alluvione i cui danni possano essere riparati entro qualche giorno o settimane la situazione può essere sensibilmente differente e il RTO, anche in questo caso può essere di alcuni giorni o settimane, indipendentemente dalla strategia di backup implementata. Il backup settimanale su nastro, conservato in un luogo sicuro (da valutare se la distanza dalla sede è sufficiente per garantire un’alta probabilità di evitare danni), garantirebbe un RPO di al massimo una settimana di dati persi.

Bisogna capire se questi valori, di RPO e RTO, sono accettabili per l’organizzazione oppure le perdite, in termini di dati e di discontinuità operativa, mettono a repentaglio la sopravvivenza dell’azienda.

Ricordiamo che per alcune attività critiche il verificarsi di eventi disastrosi con RTO di settimane e di RPO di una settimana potrebbero portare a danni economici ingenti, non coperti da polizze assicurative (ritardi nella consegna di commesse con addebito di penali da parte del committente, perdita di commesse importanti, ecc.).

In questa seconda situazione occorrerebbe certamente un sito di disaster recovery, ovvero un sito alternativo, geograficamente distante dalla sede principale dell’azienda, in grado di consentire la ripresa dell’attività in pochissimo tempo (ore, al massimo una giornata lavorativa) e la perdita dei dati di al massimo una giornata, dunque ottenendo un RTO = 1 giorno e RPO = 1 giorno. Ciò potrebbe essere ottenuto senza investimenti consistenti in una struttura gemella, ma dotandosi di una infrastruttura tecnologica in cloud.

In conclusione la procedura di disaster recovery dovrebbe essere progettata da personale competente (responsabile IT, consulenti esterni, …) basandosi su precisi input da parte della Direzione aziendale, derivanti da obiettivi di RPO e RTO ritenuti adeguati per l’organizzazione. La procedura di disaster recovery progettata avrà dei costi (che possono variare in base alle soluzioni scelte) che la Direzione dovrà mettere a budget per garantirsi gli obiettivi desiderati. Viceversa bisognerà migrare verso obiettivi meno ambiziosi di RPO e RTO, ma la Direzione deve essere consapevole di ciò. In caso di disastri, infatti, nessuno potrà accusare altri di non aver pensato alle giuste contromisure ed ognuno si assumerà le responsabilità che gli spettano.




Impatti del Regolamento Privacy sullo sviluppo software

privacyIl Nuovo Regolamento Europeo sulla Privacy, emanato lo scorso maggio ed in vigore entro fine maggio 2018, pone nuove questioni relativamente all’impiego di programmi software per l’elaborazione di dati personali, in particolare se si tratta anche di dati c.d. “sensibili” secondo la vecchia definizione del D. Lgs 196/2003.

Infatti il nuovo Regolamento Europeo sulla privacy (“Regolamento UE 2016/679 del Parlamento europeo”) impone alle organizzazioni che intendono effettuare trattamenti di dati personali di “progettare” il sistema in modo tale che sia conforme fin da subito (Privacy by design ) alle regole della privacy, spostando la responsabilità del corretto trattamento tramite strumenti informatici idonei sul titolare e sul responsabile del trattamento, quando identificato.

Nella pratica una organizzazione, prima di impiegare un applicativo software per trattare dati personali dovrà verificare che esso sia conforme ai requisiti stabiliti dal regolamento UE 679/2016, ovvero che presenti caratteristiche di sicurezza adeguate per mantenere protetti i dati personali, compresa l’eventuale pseudonomizzazione dei dati personali, quando necessaria, e la cifratura dei dati stessi.

Il Regolamento parla anche di “certificazione” della privacy, che può riferirsi ad un singolo o ad un insieme di trattamenti effettuati da un programma software, oppure da tutti i trattamenti effettuati da una organizzazione. In quest’ultimo caso siamo molto vicini alla certificazione del sistema di gestione ISO 27001. Al proposito è stato approvato da ACCREDIA lo schema proprietario ISDP©10003:2015 (conformità alle norme vigenti EU in tema di trattamenti dei dati personali).

Lo schema di certificazione ISDP 10003:2015 risponde ai requisiti di cui agli art. 42 e 43 del Regolamento 679/2016 ed è applicabile a tutte le tipologie di organizzazioni soggette alle norme vigenti in tema di tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati. Lo schema di certificazione specifica ai “Titolari” e “Responsabili” del

trattamento, soggetti ai vincoli normativi vigenti nel territorio dell’EU, i requisiti necessari per la corretta valutazione della conformità alle norme stesse.

Ricordiamo anche che all’art 25, coma 2 il Regolamento sancisce che:

Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

Rappresenta la c.d. Privacy by default: devono essere trattati “per default” solo i dati necessari a perseguire le finalità del trattamento posto in essere dal responsabile dello stesso, ovvero non devono essere trattati dati in eccesso senza che una persona fisica autorizzata lo consenta.

La certificazione introdotta all’Art. 42 può servire a dimostrare l’adozione di misure tecniche ed organizzative adeguate.

L’impatto di queste regole sugli applicativi software utilizzati per trattare anche dati personali è notevole: una organizzazione di qualsiasi dimensione che adotta un sistema informatico gestionale che tratta dati personali non in modo conforme al Regolamento UE 679/2016 di fatto rischia di essere sanzionata perché non ha adottato misure di sicurezza adeguate. Le responsabilità ricadono, in questo caso, sul titolare del trattamento e sul responsabile del trattamento, ove presente.

Dunque prima di adottare un nuovo software che gestisce archivi contenenti dati personali (a maggior ragione se vengono gestiti dati sanitari o altri dati c.d. “sensibili”) titolari e responsabili del trattamento devono valutarne la conformità alla normativa sulla privacy e questo può essere al di fuori delle competenze di chi decide l’acquisto di un applicativo software (responsabili EDP, Direttori Generali, ecc.), soprattutto nelle piccole e medie imprese o nelle strutture sanitarie di modeste dimensioni (es. Cliniche ed ambulatori privati).

La casistica di software che ricadono in questa sfera è vastissima, si va dai comuni ERP che trattano anche dati del personale, ai software per la gestione delle paghe, ai programmi per la gestione delle fidelity card, ai software impiegati in strutture sanitarie o quelli utilizzati dagli studi legali.

Oggi molti applicativi, magari obsoleti, non permettono di implementare misure di sicurezza adeguate (password di lunghezza adeguata, password di complessità minima variate periodicamente, password trasmesse via internet con connessioni crittografate, gestione utenti, raccolta di dati minimi indispensabili, gestione dei consensi, procedure di backup, ecc.) e in futuro il loro impiego diverrà non conforme alla normativa sulla privacy, ovvero non saranno più commercializzabili.

Da un lato i progettisti e gli sviluppatori di applicativi software dovranno considerare fra i requisiti di progetto anche quelli relativi alla normativa privacy, dall’altro le organizzazioni che adotteranno applicativi software (o che già li stanno utilizzando) saranno responsabili della loro eventuale non conformità al Regolamento Privacy.