Gianni Dell'Aiuto, Autore presso www.enjoysystem.it

Oggi tratteremo in questo articolo un argomento legato ai tanti aspetti della security policy e i rischi reali per i dati.

Il dipendente licenziato, arrabbiato con il suo ormai ex datore di lavoro, scaricò su una pen drive USB l’elenco di tutti i clienti che, nel corso degli anni si erano lamentati dei prodotti dell’azienda e lo offrì alla concorrenza. Sperava di essere assunto ma, in ogni caso, voleva danneggiare il suo precedente datore di lavoro.

Il socio con cui avevano condiviso anni di attività decise di mettersi in proprio e, dopo aver aperto la sua azienda, contattò tutti i clienti della società da cui si era staccato per offrire i suoi prodotti a prezzi decisamente più convenienti.

Durante la pausa pranzo, il consulente che si recava in visita verso i potenziali clienti, si fermò in un noto ristorante di campagna. Una volta qui, utilizzò la connessione del locale per inviare le copie dei contratti che aveva fatto firmare ma, a causa della scarsa protezione della rete, non si accorse di una mail ingannevole. Scaricò un ransomware che fece lo stesso percorso dei contratti e si accomodò nel server aziendale criptandolo. La successiva richiesta di riscatto in bitcoin che giunse ai vertici aziendali giunse anche alle orecchie di alcuni clienti. Questi, non ricevendo i prodotti e servizi del fornitore, avevano telefonato per chiedere spiegazioni date da una segretaria. Questa aveva ingenuamente comunicato come si trattasse “solo di un blocco del sistema a causa di un attacco informatico.”

I rischi del data breach

Potrei continuare con gli esempi ma credo che questi siano sufficienti per far capire non solo le possibili ed impensabili sfaccettature sotto cui si può presentare un data breach, ma anche come ormai non si possa pensare di ridurre la protezione dati solo ad un antivirus o ad un’informativa magari scaricata online o collocata su una piattaforma di un’azienda fornitrice. Evidente come sia ai confini dell’impossibile prevedere ogni possibile minaccia che corrono i dati di cui ogni azienda deve essere gelosa custode per evitarne la perdita e le conseguenze.

In tutti gli esempi sopra citati il Titolare del Trattamento, oltre a dover fronteggiare nei primi due casi le conseguenze del danno di immagine e dell’illecita concorrenza e nel terzo quello di decidere se cedere al riscatto o recuperare diversamente i dati, devono affrontare l’Autorità Garante cui il data breach deve essere riportato entro settantadue ore dal suo rilevamento. Andare a dichiarare l’accaduto è un dovere, sottrarsi al quale vuol dire già essere oggetto di una sanzione magari pesante e, inoltre, si sostanzia in una confessione di non essere stati in grado di prevenire l’accaduto.

Inutile sostenere la buona fede o il fatto inevitabile o, ancora, scaricare le colpe su dipendenti sleali, incapaci o altro. Le responsabilità ricadono in capo al Titolare che sarà chiamato a pagarne le conseguenze.

Conseguenze

Quali possono essere queste conseguenze?
Le sanzioni emesse dal Garante possono andare da una censura fino a poche migliaia di euro, ma quelle economiche potrebbero rivelarsi le meno dolorose.
Il procedimento e le necessarie attività di valutazione e adeguamento si risolvono in costi non solo economici ma anche in ore di attività sottratte alla produzione. Il Garante potrebbe imporre misure correttive che possono richiedere ulteriori costi se non addirittura lo stravolgimento di procedure operative e di fasi di lavorazione. Inoltre, non si dimentichi, è necessario informare gli interessati di quanto accaduto e in tal senso non è sufficiente un comunicato sulle pagine web aziendali. Ogni cliente deve ricevere una comunicazione dei rischi che corre a causa del data breach. Anche l’immagine di un’azienda potrebbe essere pregiudicata.

Quando si parla di sicurezza dei dati è necessario in ogni azienda un cambio di prospettiva rispetto al passato. A partire dalla consapevolezza ormai necessaria e che i dati sono un patrimonio aziendale fondamentale e non adeguarsi al GDPR può avere conseguenze addirittura disastrose.

Formazione, GDPR, Sicurezza informatica, Social media

1 Ottobre 20210

Banca dati: la cassaforte più importante di un’impresa

Banca dati: la cassaforte più importante di un’impresa. Vediamo attraverso questo articolo l’importanza di questa risorsa.

Non a caso la corretta traduzione in italiano del database è banca dati: in banca si tengono le cose preziose, i valori, forse anche i ricordi importanti. Oggi per un’azienda i dati personali sono un valore fondamentale non certo perché il GDPR impone di trattarli e conservarli come tali. Ma piuttosto perché sono un asset fondamentale per l’organizzazione e la gestione di ogni azienda: piccola o grande che sia.

Numeri di telefono, mail, indirizzi di clienti e fornitori sono niente se pensiamo a che cosa consideriamo oggi “dato personale”, sia dalla legge che dagli analisti. Questi infatti li usano per migliorare le performance aziendali sia per programmare strategie e futuro. Per dati, in questo contesto, non parliamo quindi solo di mere schede anagrafiche. Ma piuttosto di tutto quell’insieme di elementi che sono sempre più indispensabili in una economia di mercato sempre più globale e digitale.

I dati, una risorsa vitale

Già per qualcuno, forse, un like su un post della pagina aziendale dice molto di più del nome di chi lo ha messo. La provenienza geografica dei follower di un personaggio politico o dello spettacolo è essenziale per decidere dove promuovere di più, o di meno la sua presenza. Per un’azienda che produce qualsiasi prodotto lo scoprire che in una data città c’è un calo di vendite e un contestuale aumento di commenti social negativi su un dato prodotto diventa essenziale scoprire il perché. E di conseguenza poter inviare un sondaggio agli interessati è di assoluta vitale importanza.

Il problema è che per poterlo fare oggi il consumatore deve avere preventivamente autorizzato l’utilizzo della sua mail per ricevere le domande. Inoltre deve essere anche consapevole di averlo fatto.

Questo è soltanto uno degli aspetti disciplinati dal GDPR. Il Regolamento Europeo in vigore dal 2016 e che dal 25 maggio 2018 dovrebbe trovare piena applicazione da parte di ogni azienda e professionista. Se non si adempie a ciò, anche il semplice detenere numeri di telefono e anagrafiche configura trattamento illecito di dati personali. Per giunta sanzionabile a livello economico da parte del Garante con cifre anche a sei zeri, oltre che con misure interdittive quali, ad esempio, la chiusura di un sito internet che ha una privacy e una cookie policy non conformi alla disciplina. Magari che l’hanno copiata da internet ritenendo che siano tutte uguali come quando era possibile acquistare contratti prestampati in cartoleria.

Banca dati: la cassaforte più importante di un'impresa.

Il rischio di data breach

Per ogni singolo dato e per ogni forma di trattamento il GDPR impone che venga raccolto uno specifico consenso informato. Inoltre che anche la forma di manifestazione del consenso venga conservata insieme ai dati.

Ma che cosa accade quando una cassaforte viene scassinata dai soliti ignoti o dalla Banda Bassotti di turno che, oggi, invece di essere dei simpatici imbranati sono degli hacker di primissimo livello?

Quello che la norma definisce data breach, inoltre, non è solo la perdita di dati a causa dell’attacco di un hacker che cripta i database aziendali e chiede un più o meno pingue riscatto per restituirli. Data breach è anche la perdita accidentale di un computer o di una memory portatile. In queste ipotesi, che sappiamo non essere un semplice rischio, bisogna prendere le misure necessarie non solo a recuperare i dati prima di perdere definitivamente una parte dell’efficienza aziendale, ma anche avere previsto una procedura per avvisare la propria clientela e i fornitori dei rischi che corrono.

Riusciamo ad immaginare, ad esempio, le conseguenze di una mail inviata a tutti i vostri clienti con la quale, in prossimità di un pagamento, ricevono da un indirizzo mail assolutamente riferibile alla vostra azienda, con cui si comunica un diverso iban? Ecco perché il GDPR deve essere applicato: non solo per proteggere quel valore aziendale che sono i dati, ma anche per proteggere voi stessi.

Avvocato Gianni Dell’Aiuto

Formazione, Internet, Sicurezza informatica

11 Agosto 20210

Cybercrime, impossibile conoscerne la portata

Tantissimi anni fa, quando esistevano ancora gli elenchi telefonici nei bar e nelle cabine telefoniche, qualche ragazzino vivace poteva facilmente trovare il numero di telefono del signor Galli, chiamare usando un gettone e chiedere se fosse in casa il signor Tacchini e, alla risposta negativa, il simpatico monello rispondeva “Mi scusi ho sbagliato pollaio.” Una goliardata. Era una goliardata ma anche, in ogni caso, forse, il primo esempio di furto di dati. Chi avrebbe mai però pensato a denunciare qualcuno per una cosa del genere? Sarebbe passata nel dimenticatoio proprio come oggi non si denunciano episodi ben più gravi.

Le armi dei cybercriminali e i dati

Muoviamo dal presupposto che gli strumenti per fare simili “scherzi” sono aumentati. E inoltre non sono in mano solo ai giovanissimi, ma a vere e proprie organizzazioni criminali. Queste non hanno scrupoli ad attaccare computer e cellulari di aziende e persone per svuotare conti correnti, impossessarsi di dati sensibili per ricattare chiunque. Commettere truffe che, le cronache ce lo raccontano, vanno dai falsi innamorati che si fanno spedire denaro per poter viaggiare alla madre del povero bambino malato che chiede soldi per una difficilissima operazione.

Altro caso purtroppo frequente è il falso poliziotto o avvocato. Questo si presenta da una nonna o una mamma a chiedere il pagamento di una somma per l’incidente causato dal figlio che, a loro dire, si trova bloccato in caserma o in tribunale fino a quando non sarà versata una cauzione o pagata una multa. In questi casi complice dei malfattori è proprio quel figlio o nipote che, sui propri social ha messo a loro disposizione abbastanza dati per permettere di creare una storia credibile. Chiediamoci quante di queste vittime andrebbero a denunciare la loro ingenuità e correre il rischio di metterla in piazza. Quante aziende preferiscono pagare somme a prima vista accettabili per evitare di perdere il database hackerato ed evitare interventi del Garante.

Incertezza sui numeri reali

Tutto ciò porta a gravi conseguenze. Queste non solo in ordine all’impunità di crimini a volte odiosi a causa di vittime particolarmente deboli che possono essere gli anziani o i titolari di aziende piccole che cedono al primo ricatto. Anche vittime di piccole truffe per poche decine di euro online difficilmente denuncerebbero e sicuramente ogni giorno migliaia di episodi di cyberbullismo non vengono denunciati.

Cybercrime, impossibile conoscerne la portata

La conseguenza è che risulta impossibile, più che nel mondo reale, avere un’idea ancorché vaga di quella che possa essere l’entità del crimine online. In criminologia si parla di numero oscuro per indicare i reati che, per le più svariate ragioni, non vengono denunciati. Di conseguenza non appaiono nelle statistiche contribuendo così a creare incertezza sui numeri reali incerti e, probabilmente, ostacoli nella lotta al crimine. Ciò incide in maniera importante sui reati commessi nella realtà e, possiamo esserne certi, ancora di più online dove alcuni reati, quali il furto di dati o di identità, potrebbero essere addirittura scoperti anni dopo.

Le insidie della rete

Numeri ancora più alti e veramente quasi impossibili da conoscere possono arrivare dal crimine commesso nel darkweb e nel deepweb. Non solo spaccio e vendita di documenti o medicinali, ma anche torture, pedopornografia, vendita di organi. Autori e vittime ben potrebbero essere minorenni.

Internet è il luogo ideale dove commettere reati oggi. Una piazza in espansione che offre maggiori possibilità di anonimato e conseguente impunità oltre ad essere un contesto in cui le vittime sono molto più distratte perché spesso inconsapevoli dei rischi che corrono e di chi potrebbe essere l’aggressore. Perlomeno in strada si tiene chiusa la borsa o la tasca del portafogli e vi si presta attenzione. Online è quasi impossibile potersi difendere da tutto e tutti.

Non dobbiamo però mai dimenticare che, purtroppo, come sopra già accennato, spesso la vittima è complice del suo stesso carnefice. La mancanza di conoscenza dei pericoli online e l’assenza di una vera consapevolezza del valore dei beni che noi esibiamo in rete, sono argomenti di cui si dovrò tenere conto, specialmente a livello legislativo per cercare di creare una vera e propria coscienza digitale di della quale si sente sempre più bisogno.

Database, Formazione, GDPR, Internet, Sicurezza informatica

3 Agosto 20210

Rapinano le banche dati perché contengono valori

È una leggenda metropolitana smentita dalla stessa persona a cui è stata attribuita. Si legge infatti in giro che quando chiesero al rapinatore di banche americano Willie Sutton “Perché rapina proprio le banche?” La risposta fu “Perché è lì che stanno i soldi.” Anni dopo lo stesso Sutton, nella sua biografia, precisò di non avere mai detto quella frase. Salvo precisare che quella sarebbe stata la risposta se mai glielo avessero chiesto. Logico: le rapine si fanno dove si trovano i soldi. Oggi potremmo invece dire che rapinano banche dati perché contengono valori, i nostri dati.

Chiediamoci allora come mai oggi il maggior numero di furti e rapine avviene dove vengono conservati i dati personali.

Italia al 6° posto

Dai dati che si trovano online l’Italia sembra sia al sesto posto nella classifica delle nazioni in cui avviene il maggior numero di furti di dati personali e nessuno è immune da attacchi hacker sotto ogni possibile forma: dal phishing ai ransomware fino dalle truffe informatiche ogni metodo è buono per ottenere indirizzi mail, informazioni personali, password, iban e codici dei sistemi di pagamento. Sono sotto attacco privati e imprese. Ai primi si sottraggono i dati per accedere a conti correnti. Invece alle seconde gli interi database aziendali per chiedere riscatti che, anche se pagati, non garantiscono la certezza circa la loro restituzione o comunque siano messi a disposizione di chiunque nel darkweb.

Rapinano le banche dati perché contengono valori

Aumenta la navigazione in rete, aumentano le attività che possono essere fatte online e, di conseguenza, aumenta il numero di dati che possono essere sottratti e le possibilità di farlo. La pandemia ha offerto ai pirati del web anche la possibilità di sfruttare lo smartworking e la didattica a distanza, due situazioni in cui il navigatore si presta oltretutto maggiormente esposto in caso di attacco. Non possiamo infatti essere certi che il computer utilizzato a casa e la rete internet siano protetti come quelle aziendali. O, perlomeno, come queste dovrebbero esserlo.

Utenti distratti

La distrazione dell’utente è sempre uno dei fattori che maggiormente contribuiscono al furto di dati. Un click avventato o su una finestra che si apre improvvisamente, senza dare modo di controllare a che cosa si accede. Un consenso al trattamento dati senza rendersi conto che in questa maniera si corre il rischio di vedere legalmente venduti i nostri dati ad agenzie di marketing o altro. Sono solo alcune delle modalità con cui il navigatore permette a sconosciuti di accedere al patrimonio personale. Quest’ultimo rappresentato da quei dati che costituiscono l’identità digitale di una persona.

Sembra che, ancora, non sia presente nei singoli la consapevolezza dell’importanza del dato mentre le aziende, dall’altro lato, non hanno ancora realizzato quanto sia importante, non solo per il rischio di sanzioni economiche, proteggere la cassaforte che contiene tutti i dati di clienti, fornitori, dipendenti e contatti magari ottenuti tramite i social. Gli utenti della rete, da parte loro, si mostrano fin troppo attenti quando la loro privacy viene violata da una telefonata da un call center o da una mail pubblicitaria non gradita. Ma dimenticano che ciò, spesso, accade a causa della loro distrazione o leggerezza nella navigazione.

I dati: un bene prezioso

I dati personali, non ci stancheremo di ripeterlo, sono un bene economico di grande valore, è la benzina di internet: senza i dati i sistemi operativi resterebbero fermi e l’economia del web ha bisogno non solo di dati per muoversi, ma anche di poterli comparare, profilare, interconnettere e poter portare all’utenza ogni possibile offerta personalizzata. Da qui il bisogno di dati che, in molti cercano di ottenere e processare legalmente. Tuttavia ricordiamo sempre che i malintenzionati non mancano mai. E inoltre hanno a disposizione un grande mare. Un oceano in cui poter pescare più o meno lecitamente il bene più prezioso che esiste sul mercato oggi: i nostri dati personali.

Formazione, GDPR, Sicurezza informatica

23 Giugno 20210

“Legge Privacy”: le incomprensioni sul GDPR

Se da un personaggio pubblico che poteva anche diventare presidente del Consiglio dei ministri, membro del FMI e editorialista di testate prestigiose quali La Stampa e Repubblica ascoltiamo le parole “la legge privacy va cambiata”, ci rendiamo conto di come vi sia ancora molta strada da fare. L’economista Carlo Cottarelli, già incaricato dal presidente Mattarella di formare il Governo prima dei Giuseppe Conte, ha usato queste parole in un recente Tweet. L’argomento era un provvedimento del garante che avvertiva di come la app IO non fosse adeguata e come presentasse problemi per erogare il Green Pass.

Problemi che dovranno essere risolti e poi via libera. Errori analoghi li ha commessi anche Carlo Calenda, aspirante sindaco di Roma, che ha definito il Garante un “intoppo burocratico” quando questi si sarebbe permesso di ricordare che è lo Statuto dei Lavoratori, e non certo il GDPR, che prevede il divieto da parte del datore di lavoro di indagini sullo stato di salute dei dipendenti e di come, di conseguenza, la vaccinazione sui luoghi di lavoro permetta al datore di disporre dati che lo Statuto gli vieterebbe di avere.

In ogni caso Cottarelli e Calenda, specialmente il primo, hanno dimostrato una scarsa conoscenza della normativa e dimenticato che non è nelle mani del legislatore italiano poter cambiare il GDPR che, dobbiamo ribadirlo, non deve essere inteso come un ostacolo burocratico, bensì come un’opportunità per le aziende di organizzarsi in maniera etica e positiva minimizzando i dati e garantendone la protezione agli utenti.

Inoltre, quello di avere i propri dati personali protetti e non utilizzati a scopi illeciti e non dichiarati, è un ben preciso diritto dei cittadini per i quali, ricordiamolo, c’è una norma volta a proteggere la sfera privata non solo da massicci e invasivi invii di spam pubblicitario, ma anche di non essere profilati da aziende di qualsiasi tipo o organizzazioni magari politiche.

La “legge Privacy” non esiste: le incomprensioni sul GDPR

Interventi globali sul sistema di protezione dati

Purtroppo, la confusione che si fa e che si genera anche dal continuo utilizzo in maniera inopportuna del termine privacy, porta ancora a mescolare questo concetto con quello di protezione dati. Manca ancora l’educazione alla protezione del dato. Dato che purtroppo, è spesso rilasciato dall’utente in rete senza consapevolezza e con molta confusione sui limiti normativi e senza leggere le informative.

Queste ultime spesso troppo complesse e magari ancora non a norma. Una diversa consapevolezza sembra peraltro sia emersa nel corso dell’ultimo G7. Questo, in un’ottica anticinese, ha parlato di una governance dei dati che potrebbe portare ulteriori interventi globali sul sistema di protezione dati. E, inoltre, disciplinare un internet ancora troppo far west e con normative non chiare, come abbiamo visto, anche a chi dovrebbe applicarle.

Non è solo una questione di terminologia corretta (anche se sarebbe lecito aspettarsela). Bensì di conoscenza e consapevolezza di un argomento sensibile che tocca tutti e, in particolare, i minori e i più piccoli.

Consulenza, Formazione, GDPR

2 Giugno 20210

La catena della gestione dati

Raccolta dati è un termine generico ed insufficiente per descrivere una vera e propria catena adibita a disciplinare l’intera attività di gestione dati che servono ad un’azienda. Precisiamo subito, non è a causa del GDPR se quella del trattamento dati si è trasformata in una vera e propria filiera, indispensabile per una corretta gestione aziendale.

Sono a dir poco remoti, arcaici addirittura, i tempi in cui era sufficiente registrare fornitori e clienti in archivi cartacei e aggiornarli solo quando indispensabile. Oggi i dati non sono soltanto quelli tradizionali. Ricordiamo, che in ogni caso, questi sono aumentati per ciascuno dei soggetti dovendo includersi PEC, mail private e aziendali, siti internet e quant’altro necessario. Oggi un database aziendale è formato anche da dati statistici e valutazioni. Dati che vanno dalla customer satisfaction (soddisfazione del cliente) alle criticità del post-vendita e non solo. Ovviamente non sono certo questi dati personali da trattare ai sensi del GDPR. Tuttavia si tratta comunque di elementi del patrimonio aziendale che devono trovare una loro tutela e protezione. In tal senso, gli strumenti messi a disposizione da una corretta applicazione del GDPR possono rivelarsi utili.

Raccolta dei dati

Fin dal momento della raccolta è possibile individuare i soggetti deputati ad ogni forma di trattamento sia all’interno di un’azienda che da parte di fornitori esterni di servizi. Ad esempio, il consulente del lavoro per i necessari adempimenti e il commercialista per la contabilità; ciò anche al fine di predisporre informative sufficientemente esaustive e non correre il rischio di omissioni derivanti da frettolosi copia-incolla.

Venendo comunque alla protezione del dato così come imposto dal regolamento Europeo 679/2016, che ancora in troppi ignorano, l’organizzazione della catena inizia dal momento in cui si debbano scegliere i dati da trattare. Il principio della minimizzazione, infatti, è un parametro che, se da un lato impone dall’altro consente ad un’azienda di evitare un appesantimento dei propri archivi e, conseguentemente, anche abbassare i rischi in casi di perdita dati.

Formazione del personale

Formazione del personale e lettere di incarico diventano ulteriori strumenti essenziali. Non solo come elemento dell’organizzazione aziendale, ma come mezzi per evitare appesantimenti di dati nei flussi e dispersione delle informazioni. Questi, con un’attenta pianificazione, possono rimanere nella disponibilità solo di chi ha necessità di conoscerle per determinati scopi. Ne guadagnerebbe anche la sicurezza aziendale nel suo complesso.

Rischio di data breach

Indispensabile per aziende che hanno più reparti o divisioni valutare a quali consentire l’accesso alle varie tipologie di dati. A molti sfugge che, ad esempio, è inutile per un settore produzione avere a disposizione gli indirizzi dei clienti che servono a chi è incaricato alle spedizioni. Allo stesso modo, nel caso di studi medici e laboratori di analisi è a dir poco inopportuno che la contabilità venga a conoscenza delle patologie dei pazienti o possa accedere ai referti medici. Una corretta gestione di archivi e computer sul punto porterebbe anche ad una limitazione dei rischi in caso di data breach. Questo in effetti limiterebbe danni e diffusioni di dati.

Un’attenta valutazione dei rischi e una conseguente corretta pianificazione e gestione della Privacy può quindi rivelarsi non il costo temuto che, purtroppo, porta molte aziende a non applicare correttamente il GDPR, bensì un miglioramento della complessiva funzionalità dell’azienda e uno snellimento delle procedure.

GDPR, Sicurezza informatica, Social media

19 Maggio 20210

Protezione dati pubblici sulle fan page social

Vediamo insieme cosa dice la legge riguardante la protezione dei dati pubblici sulle fan page social.

Purtroppo, spesso accade che nel corso di una delle troppe telefonate che riceviamo, nonostante le sanzioni già emesse dal Garante, alla domanda “Come avete ottenuto il mio numero di telefono?” tra le farfuglianti giustificazioni dell’operatore possiamo trovare quella fornita principalmente a imprenditori e professionisti troviamo “E’ un dato pubblico possiamo usarlo.” E’ sicuramente vero che i recapiti telefonici e gli indirizzi mail di aziende, commercialisti, avvocati e altri professionisti sono pubblici perché trovati in albi o pagine web.

Tuttavia è altrettanto vero che mettere a disposizione il proprio telefono o una email di contatto non autorizza in alcun modo ad usarli per comunicati o promozioni commerciali. La stessa problematica riguardante la protezione dei dati pubblici si presenta anche nel contesto delle cosiddette fan page social.

fan page social e protezione dati — Attraverso le fan page, le aziende possono reperire informazioni riguardanti gli utenti

Con maggiore delicatezza abbiamo lo stesso problema per quanto riguarda le pagine social e, in particolar modo, per le popolarissime fan page.

Questi specialmente su Facebook sono tra gli strumenti più utilizzati da aziende e professionisti. Infatti, tramite loro possono così farsi conoscere e aumentare il proprio bacino di utenza. Non dimentichiamo, infatti, che anche un semplice like su una pagina o un post è elemento che permette di conoscere chi lo ha messo e, magari unendolo ad altri elementi facilmente reperibili in rete, profilarlo per individuare le sue preferenze.

Un’attività tra quelle a cui, maggiormente, il GDPR cerca di mettere un freno per tutelare gli utenti dalle invasione della propria privacy.

Facebook inoltre mette a disposizione del gestore della fan page la possibilità, tramite cookie e insight, di reperire numerosi dati personali per capire da chi è composto il pubblico della pagina, provenienza, età e a quale sesso appartiene, oltre ovviamente alle sue preferenze.

È proprio questo lo strumento che serve per poter creare campagne pubblicitarie mirate. Allo stesso modo vengono utilizzati i risultati dei test e sondaggi di opinione che molte aziende lanciano sempre sui social. Mettere in rete quello che sembra un sondaggio lanciato da un qualsiasi utente è un modo ideale ed economico, oltreché subdolo, di venire a conoscenza di gusti e preferenze dei propri potenziali clienti.

Art. 6 del Regolamento

Il trattamento di questi dati è chiaramente limitato dall’articolo 6 del Regolamento. Essi infatti sono utilizzabili laddove funzionali ad adempiere obblighi legali gravanti sul titolare ovvero, se non funzionali, quando questi siano necessari per l’esecuzione di un contratto (esecuzione, dice la norma, non proposta o offerta).

Ricordiamo oltretutto che è sempre necessaria una forma di una forma di consenso espressa. La forma del silenzio assenso non è quindi prevista dal GDPR. Queste osservazioni devono essere anche alla base di ogni forma di trattamento dei dati. Questi vengono messi a disposizione sui social network e, in particolare, proprio sulle fan page, alle quali accedere e commentare rivela gusti e preferenze dell’utente se non addirittura un pensiero politico o l’orientamento sessuale di una persona.

Così il gestore della fan page diventa anche il Titolare del trattamento di dati che un utente crede di aver concesso solo a Facebook. Il gestore così imposta i parametri del trattamento ad obiettivi di gestione aziendale determinandone le finalità; lo stesso gestore può chiedere di ricevere da Facebook, in forma anonima, i dati raccolti dai cookie per finalità di webtracking.

La sentenza della corte Europea

Sul punto si è pronunciata la Corte Europea. Quest’ultima in una sua sentenza, ha di fatto nominato l’amministratore di una pagina fan di Facebook responsabile del trattamento dei dati. Facebook a sua volta, insieme all’amministratore, sarà responsabile di tale trattamento che quest’ultima raccoglie e mette a sua disposizione. Il Gestore della pagina dovrà quindi procurarsi una valida base di trattamento per poterli utilizzare e creare le campagne mirate di advertising.

Formazione, GDPR, Sicurezza informatica

1 Aprile 20210

Protezione dati e personale di desk: l’ABC del GDPR

Un aspetto importantissimo che riguarda il personale di desk e la loro formazione è la questione della protezione dati ossia l’ABC del GDPR.

L’esempio classico è quello dello studio medico. Nel momento in cui passiamo davanti al tavolo della segretaria, troviamo in bella mostra l’agenda con gli appuntamenti della settimana, un paio di ricette che qualcuno dopo passerà a prendere e la cartella clinica con il nome del paziente visitato prima di noi. Lo stesso può accadere in decine di altre situazioni. E’ questo il problema della gestione dei dati personali: divulgazione non autorizzata, distruzione, modifica o accesso agli stessi (data breach). In poche parole, i titolari del trattamento dei dati che dovrebbero uniformarsi a tale regolamento attraverso un’ adeguata formazione.

I Titolari del trattamento, anche quando decidono di adeguare la loro azienda al GDPR, hanno spesso la tendenza a concentrarsi sulla foresta. Tuttavia dimenticano che questa è formata da tanti piccoli alberi ciascuno dei quali ha la sua funzione. Ribadendo che il GDPR non prevede forme specifiche o misure definite in ordine alle modalità di protezione e trattamento dati da parte del titolare. Difatti quest’ultimo ha la massima discrezionalità. E’ lui a decidere per ogni suo singolo incaricato o dipendente quali misure debbano essere adottate e quale formazione debba essere impartita.

Formazione e privacy

Ma anche qui il testo del GDPR è ancora decisamente generico, fino al punto che il termine formazione non si trova nei considerata e viene nominato per la prima volta all’art.39 tra i compiti del Responsabile della Protezione Dati, laddove venisse incaricato dal Titolare di provvedervi. Insomma, nessun obbligo o dovere specifico così come non è formalmente previsto il costante cambio di password.

La formazione la possiamo ritenere implicita nei dettati dell’art. 32 GDPR e, in ogni caso, è uno dei doveri principali per ogni titolare, nonché norma comportamentale dovuta. Tuttavia, molte aziende, né comprendono né valutano i costi ed i rischi e quindi di conseguenza induce le stesse a trascurarla. I rischi possono essere elevati e lo sanno bene molto. Ad esempio i laboratori di analisi sanzionati dal Garante per € 10.000 dopo che avevano inviato a dei pazienti i risultati delle analisi di altri.

Data Breach

L’esperienza di ogni giorno ci insegna che i primi a venire in contatto con i dati personali non sono certo i vertici di un’azienda, bensì segretarie, collaboratori esterni che raccolgono proposte, coloro che ricevono e leggono email per informazioni e preventivi. Tutti soggetti che, purtroppo, non sempre sono oggetto di adeguati percorsi formativi. Inoltre, spesso avviene che aziende terze che agiscono in forza di un contratto per conto del titolare, raccolgano i dati di possibili futuri clienti.

Fin troppo spesso si tende a non rispettare la catena dei rapporti e delle lettere di incarico. I passaggi che portano, ad esempio un operatore di call center (sempre che lo faccia in maniera legittima), a usare un numero di telefono, non vengono presi in considerazione. Pertanto, sia l’ operatore, che l’ incaricato che raccoglie una proposta per conto di un fornitore, svolgono attività di trattamento dati per la quale dovrebbero avere ricevuto un’adeguata formazione, istruzioni e, ovviamente, una lettera di incarico che contenga i limiti dell’attività svolta.

Anche queste sono considerazioni e elementi di valutazione che un imprenditore oculato dovrebbe tenere presenti al momento della predisposizione della policy privacy aziendale. Sono infatti questi potenziali rischi e cause di data breach. Non si tratta quindi solo di indicare norme comportamentali, ma anche di avere un chiaro quadro dell’attività dell’azienda, i rapporti contrattuali con partner e fornitori e predisporre adeguate lettere di incarico.

Il non farlo è data breach.

GDPR

18 Marzo 20210

WhatsApp per le comunicazioni aziendali: quali rischi si corrono?

È sicuramente una soluzione comoda quella di usare WhatsApp per le comunicazioni aziendali e, magari, scambiare informazioni e documenti. Quali sono ormai le aziende che non hanno il loro gruppo WhatsApp, usato per comunicare di tutto tra tutti i dipendenti. Dai turni di lavoro alle indicazioni su come realizzare un nuovo progetto fino ad arrivare, ovviamente, ai documenti. Certamente i più pensano che, trattandosi di messaggi interni ad un gruppo di colleghi e magari indispensabili per la produzione, il tutto sia giustificato e non richieda alcuna accortezza se non la riservatezza degli utenti. Ma l’uso di WhatsApp per le comunicazioni aziendali non è esente da rischi: vediamo quali tra i più comuni si corrono.

Niente di più sbagliato

WhatsApp per le comunicazioni aziendali: quali rischi si corrono?

Notizie di stampa riferiscono di un’indagine che ha evidenziato come oltre il 70% dei dipendenti utilizzi questo sistema, al di là dei gruppi, per inviare dati, documenti, notizie sensibili e ogni altro tipo di informazione relativo all’attività aziendale. Ovviamente in pochissimi si rendono conto che, nella quasi totalità dei casi, viene utilizzato uno strumento non fornito dall’azienda e veicolare informazioni e documenti con queste modalità potrebbe già costituire una violazione del GDPR. Basta infatti chiedersi se l’azienda abbia autorizzato ogni dipendente, previo percorso formativo, a usare il proprio cellulare e quello specifico mezzo di trasmissione delle informazioni. E accanto ai cellulari dobbiamo anche considerare i computer ed i portatili oltre alle piattaforme di videoconferenze, da Skype fino alla gettonatissima Zoom.

Rischi di perdita dati e di contenuti che raddoppiano per le aziende che, difficilmente, possono controllare i loro dipendenti non solo fuori dall’orario di lavoro, ma anche nelle proprie abitazioni. Di conseguenza gli stessi apparati sono usati anche da moglie e figli, magari per vedere video, collegarsi a siti non sicuri o aprire mail inattendibili.

Data breach

Vi sono inoltre altri rischi che sarebbe opportuno evitare come, ad esempio, quello che un documento possa transitare da un cellulare all’altro fino a diventare virale. Lo sa bene la Banca di Transilvania. Questa infatti è stata sanzionata per 100.000 euro dal Garante della Romania. Questo perché i dipendenti avevano prima fatto girare al loro interno e poi all’esterno, la lettera con la quale un cliente rispondeva in maniera ironica ad una richiesta di spiegazioni. Mancata adozione di misure organizzative e inefficienza della formazione.

Sicurezza dei dati aziendali

Già prima della pandemia era emerso come gran parte dei data breach fosse imputabile ai dipendenti che, con comportamenti a dir poco leggeri, avevano messo a repentaglio la sicurezza dei dati aziendali. Addirittura in alcuni casi anche con autorizzazione più o meno implicita da parte del datore di lavoro ad utilizzare strumenti reperibili online e gratuitamente. Non valutando purtroppo tutti i connessi rischi e le immaginabili conseguenze. Quello della banca rumena è solo uno dei possibili esempi. Immaginiamo cosa potrebbe accadere se in una chat di colleghi venisse inviato un certificato medico con indicate particolari patologie. Oppure su un gruppo aziendale foto di un cliente in un momento di imbarazzo magari scattate a sua insaputa.

Informativa sulla privacy

Si tratta di un problema non da poco per le aziende che, magari pensando di risparmiare, utilizzano piattaforme che possono generare altri tipi di costi più che benefici. Ad esempio sanzioni da parte del garante e data breach che potrebbero anche imporre una completa revisione, con i conseguenti oneri, dell’intera politica privacy aziendale. L’uso dei sistemi di messaggistica e dei social, è uno degli aspetti da considerare al momento di predisporre la privacy policy come fattore di rischio.

GDPR

1 Marzo 20210

Pagheresti per ricevere pubblicità? Lo stai già facendo!

Carosello era il modo gentile e educato con cui la pubblicità entrava nelle case degli italiani con i volti rassicuranti degli attori e dei personaggi dei cartoni animati dell’epoca: Calimero, Gatto Silvestro, Macario, Totò, Gino Bramieri, Nino Manfredi e Ernesto Calindri solo per dirne alcuni. Anche famosi registi come Fellini, Pasolini e addirittura Sergio Leone erano dietro alle macchine da presa.

Carosello era un format in cui si susseguivano filmati di circa due minuti e solo gli ultimi trenta secondi erano dedicati al prodotto; la prima parte era una storia per attirare l’attenzione di un pubblico per il quale il programma era un amico con cui rilassarsi la sera, dopo o durante la cena, con la famiglia. Un programma per tutte le età quando la RAI aveva un solo canale ed era in bianco e nero. Improponibile al giorno d’oggi: chi starebbe a guardare due minuti filati di pubblicità? Pochi secondi di spot sono anche troppi e la pubblicità non si guarda in poltrona.

Le aziende si sono adattate ai nuovi schemi, ai contesti e agli strumenti dai quali l’utente moderno non riesce a staccarsi e che sono il veicolo per portare messaggi pubblicitari facendo pagare l’utente stesso che, dopo, comprerà quel prodotto che gli è comparso sulla schermata del tablet o dello smartphone.

La pubblicità non è più quella di una volta che usava un cartellone sulla strada più trafficata sperando che qualcuno lo notasse per poi entrare nel negozio più vicino; oggi è il cliente che fornisce alle aziende tutti gli elementi necessari per farsi individuare, profilare e, quando chiederà qualcosa allo strumento digitale che ha sempre in mano, un sistema di intelligenza artificiale gli farà quasi magicamente apparire sullo schermo quello che il navigatore crede sia la soluzione migliore per lui.

Invece il prodotto consigliato è il frutto di un’analisi incrociata fatta di click, preferenze, dati di navigazione, precedenti ordini e ricerche fatte in precedenza. Da questa analisi, in poche frazioni di secondo, viene rilevato chi è l’autore della ricerca e possono iniziare le offerte da parte dei motori di ricerca per essere i primi a comparire sulla schermata che, quasi sempre, è quella di Google.

Il cliente non è però consapevole che, con questo sistema, ha pagato due volte: in euro o dollari il prodotto acquistato e, prima ancora, con i suoi dati personali, il privilegio di ricevere l’offerta personalizzata. Premessa: i dati personali sono la benzina del motore di internet e, al contempo, un bene che vale più dell’oro e del petrolio: altrimenti perché vi sarebbero così tanti furti di dati?

Per capire l’ulteriore pagamento effettuato dal cliente è opportuno sapere che una sentenza del TAR del Lazio ha stabilito come l’adesione ad un social non sia un gesto concesso a titolo gratuito dalle piattaforme: si tratta di un vero e proprio contratto che l’utente conclude con i vari Facebook, Instagram e che paga con i propri dati personali. Non solo dati identificativi, ma anche le preferenze, le interazioni, i like, la partecipazione a gruppi per non parlare delle foto da cui si può capire lo stile di abbigliamento, le vacanze preferite, gli animali domestici e non solo. Quel click con cui si chiede di dichiara voler andare avanti nella navigazione è la risposta affermativa alla domanda se sono state “lette, comprese e accettate” le condizioni di navigazione e le modalità di trattamento dati: spesso, anche quelli dei propri familiari. Non sei controllato da Internet: sei tu che lo hai permesso con un click: non dimentichiamolo. Il GDPR, la nuova normativa europea sulla protezione dati, ha portato a qualche piccolo passo avanti ma, al momento, sembra che solo una piccola parte delle aziende italiane si siano adeguate, con buona pace della privacy. Intanto rimpiangiamo la vecchi pubblicità di una volta e accontentiamoci di offerte seriali h 24 nell’arco di tutta la giornata.

Cookie	Durata	Descrizione
__hssrc	sessione	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
_GRECAPTCHA	6 mesi	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 anno	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 mesi	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 mesi	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 mesi	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	11 mesi	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Non-necessary" category .
cookielawinfo-checkbox-others	11 mesi	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	11 mesi	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".

Cookie	Durata	Descrizione
__cf_bm	30 minuti	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	sessione	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Durata	Descrizione
__hstc	sessione	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 anni	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_78N9WP2E3X	2 anni	This cookie is installed by Google Analytics
CONSENT	2 anni	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	sessione	HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.

Cookie	Durata	Descrizione
VISITOR_INFO1_LIVE	6 mesi	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	sessione	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt.innertube::requests	Mai	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Author: Gianni Dell'Aiuto

Cybercrime, impossibile conoscerne la portata

Le armi dei cybercriminali e i dati

Incertezza sui numeri reali

Le insidie della rete

Recent posts

Cerca

Importante

Ultimi post pubblicati

Servizi

Author: Gianni Dell'Aiuto

I rischi del data breach

Conseguenze

I dati, una risorsa vitale

Il rischio di data breach

Le armi dei cybercriminali e i dati

Incertezza sui numeri reali

Le insidie della rete

Italia al 6° posto

Utenti distratti

I dati: un bene prezioso

GDPR: un’ opportunità per le aziende

Interventi globali sul sistema di protezione dati

Raccolta dei dati

Formazione del personale

Rischio di data breach

GDPR e fan page

Art. 6 del Regolamento

La sentenza della corte Europea

Formazione e privacy

Data Breach

Niente di più sbagliato

Data breach

Sicurezza dei dati aziendali

Informativa sulla privacy

Recent posts

Cerca

<img decoding="async" class="size-full wp-image-16255 alignnone" src="https://www.enjoysystem.it/wp-content/uploads/2022/04/logo_enjoysystem_dark2.png" alt="" width="87" height="70" />

P.IVA 03523161200

Email

Pec

Telefono

Fax

Importante

Ultimi post pubblicati

Social

Servizi