Un tempo, quando le parole erano ancora importanti, li chiamavano dati personali. Oggi di personale hanno tutto e niente. Tutto perché mai come in quest’epoca il dato è diventato iper-profilato e profilabile. Niente perché non sono più della persona che li produce, né dello Stato dove nasciamo, cresciamo, lavoriamo e paghiamo le tasse. Sono dati personali, ma non sono più nostri. Né, qualora dovesse accaderci qualcosa di brutto, dei nostri cari. Esemplare è la storia di quel papà che scrisse ad Apple per chiedere di poter accedere al dispositivo del figlio, morto, perché lì c’erano gli ultimi ricordi insieme. Non si può fare, gli risposero da Cupertino. Una questione di privacy.
Ebbene sì, la privacy. Non è più una prerogativa di istituzioni e governi democratici ma delle aziende tecnologiche. Difendere la privacy degli utenti vuol dire non rompere il vincolo di fiducia che, nell’era dell’IoT, si instaura tra vendor tecnologici e compratori. Io fornisco a te un oggetto che diventa sempre più “personale”, raccolgo molti dati (che spesso uso per profilazione e marketing, anche se a te utente non lo dirò mai), ma della tua vita solo io, la tua azienda, so tutto. Un po’ come il segreto bancario o quello medico.
Quindi questi dati non verranno mai consegnati all’esterno, ci promettono. E’ per certi versi forse anche meglio così, anche perché queste società hanno oramai un valore commerciale superiore al Pil di uno Stato. E lo Stato, quindi la politica, è corruttibile. Un ricco (e potente) non lo compri con altri soldi.
Ma non è questo il punto. Io posso scegliere consapevolmente di far custodire i miei dati a qualcuno, così come faccio con i miei risparmi e gli oggetti di valore. Scelgo io se tenere la cassaforte in casa oppure depositare tutto in banca.
Il punto è un altro: siamo ignoranti, perché ancora non abbiamo capito quanto valore abbiano davvero i nostri dati.
E quindi ci meritiamo tutto. Ci meritiamo la mail di spam, ci meritiamo la telefonata dal call center con sede in Albania, ci meritiamo il furto di identità, ci meritiamo SANZIONI PESANTI!
Perché se non sappiamo quanto valgono per noi i nostri dati allora non li tuteleremo mai!
La tecnologia è una cosa bellissima. Ci aiuta a vivere meglio, a organizzare le nostre relazioni, ci fa risparmiare tempo e soldi, ci guida da un punto A a un punto B. Eccoci qui, quarant’anni dopo la promessa di Bill Gates, con Windows, di portare “un pc in ogni famiglia”, e dieci da quando il suo acerrimo amico Steve Jobs, con l’iPhone, è riuscito a portare “Internet in ogni tasca”.
Internet è una cosa bellissima. Pensate, il nostro smartphone sa più cose di noi del nostro migliore amico, quello che conosciamo da una vita, sin da bambini. Sa più cose di noi dei nostri genitori, fratelli, sorelle, del nostro capo, del medico, del salumiere di fiducia, del direttore di banca. Sa quanti soldi abbiamo sul conto (e quanti conti abbiamo), se siamo assicurati (e per cosa). Conosce le nostre abitudini, i nostri dati biometrici, sa se, quando e quanto ci muoviamo, dove andiamo, se siamo delle schiappe a correre, quali video guardiamo, cosa compriamo. Persino cosa stiamo per comprare e poi non compriamo (e lo ricorda per mesi). Grazie ai social, poi, il nostro fido device sa con chi interloquiamo di più, e con chi faremmo volentieri una scappatella. In alcuni casi può anche contribuire a risolvere un delitto.
Una nota azienda che si occupa dello sviluppo di software antivirus, ha reso pubblici i risultati della ricerca annuale sulle abitudini degli utenti nell’approccio ad internet. In questo ambito il dato che emerge è che il valore medio dei dati personali registrati su Internet è di circa € 40! Il valore medio dei dati salvati sui computer e sui dispositivi mobili degli utenti è di € 612. Questo è uno dei motivi che spinge molte vittime dei virus che criptano i file a desiderare di recuperare i dati pagando il riscatto richiesto, che spesso si aggira intorno alla metà di questo valore.
La diffusione di virus di tipo ransomware, in crescente diffusione negli ultimi mesi, è agevolata proprio dal pagamento del riscatto da parte delle vittime nel tentativo di recuperare i file. Nonostante non vi sia alcuna certezza di recupero pagando la cifra richiesta dai criminali, le statistiche indicano che almeno il 40% degli utenti sia interessata a come pagare il riscatto.
Il motivo è semplice: il valore economico dei dati creati e salvati nel tempo supera enormemente la cifra richiesta dal virus. Per il 39% degli intervistati il valore supera addirittura i 1000$ (circa 897€).
Il 90% degli utenti afferma di salvare sui propri dispositivi dati personali importanti, quali video, foto, messaggi di posta e contatti, ammettendo che, in caso di perdita definitiva, non sarebbe in grado di recuperare il 15% di questi file.
Un altro dato importante è che il 90% degli utenti Windows che contribuiscono alla statistica hanno installato un software antivirus, che purtroppo non da alcuna certezza soprattutto nel caso di software gratuiti, ma che può limitare i danni. Purtroppo solo 6 utenti Apple su 10 ha la stessa accortezza. Il dato più grave racconta che il 23% degli intervistati non ha adottato una strategia di salvataggio dei dati, neanche di quelli più importanti.
Inoltre, sfortunatamente, i ransomware non sono l’unica minaccia a mettere in pericolo i dati personali. Ad esempio, i dati potrebbero venire persi o rubati insieme al dispositivo. Questo significa che un comportamento poco attento potrebbe portare a subire un’esperienza traumatica e una consistente perdita finanziaria.
Ci propongono l’iscrizione a Facebook gratuitamente, così come gratuitamente utilizziamo Google. Se ci facessero pagare un abbonamento, in cambio della promessa di non profilarci, quanti di noi, sinceramente, sarebbero disposti davvero a sottoscriverlo?
Il vero business model dei social network siamo noi, le tracce che lasciamo quando navighiamo, consumiamo, visualizziamo o clicchiamo inserzioni. Senza questi dati verrebbe meno tutto il modello economico. Tant’è che è possibile dare anche un valore economico ad ogni iscritto: stando ai bilanci 2016 di Facebook, il valore medio di un utente, sul social, si aggira intorno ai 16 dollari.
Secondo uno studio commissionato da DG Connect, l’organo che si occupa di monitorare (e, di fatto, normare, attraverso la Commissione) il mercato europeo delle comunicazioni, diretto dall’italiano Roberto Viola, nel 2016 il comparto dati nell’Ue ha prodotto quasi 60 miliardi di euro, e nel giro dei prossimi tre anni potrebbe raggiungere quota 100 miliardi.
E nell’industria dei dati non ci sono solo i giganti americani: c’è posto per tutti. Qualcuno ha detto che i dati sono il nuovo petrolio, altri che valgono più dei soldi.
Quando andrete a fare la spesa, chiedete se accettano like…
Il REGOLAMENTO UE 2016/679 – GDPR è stato approvato nel dicembre 2015 a livello di “comitato trilogo” a Bruxelles.
Votato, poi, il 14/04/2016 dal consiglio UE, pubblicato in Gazzetta Ufficiale UE il 04/05/2016 e in Gazzetta Ufficiale italiana il 24/05/2016.
Diventerà definitivamente applicabile in via diretta in tutti i paesi UE a partire dal 25 maggio 2018, quando dovrà essere garantito il perfetto allineamento alla normativa nazionale in materia di protezione dati.
È sorprendente constatare che molte aziende non abbiano ancora iniziato una delle azioni fondamentali per il REGOLAMENTO UE 2016/679 – GDPR!
Ritengo ESTREMAMENTE PRIORITARIO E NECESSARIO identificare e categorizzare i dati personali all’interno dell’azienda.
Questo “ritardo nelle consegne” potrà risultare MOLTO COSTOSO IN TERMINI DI SANZIONI.
Secondo la nostra esperienza, il lavoro da fare è tanto.
Nonostante il cliente decida di automatizzare tutti i processi e di avvalersi della nostra PROFESSIONALITÀ, quella di “professionisti della privacy”, è FONDAMENTALE INIZIARE IL PRIMA POSSIBILE!
Qualsiasi azienda che possiede dati di cittadini dell’Unione europea all’interno dei propri sistemi è soggetta alla regolamentazione. Pertanto, sono incluse non solo le imprese dell’Unione, ma anche le aziende che si trovano al di fuori. Si sta ancora discutendo su come valutare e applicare le sanzioni per le aziende che sono al di fuori dell’Ue e non rispettano la normativa.
Se sei interessato analizza la nostra OFFERTA e CONTATTACI.
Certo, ma vuol dire anche più obblighi e responsabilità per aziende ed enti pubblici, che dovranno adeguarsi per tempo al fine di evitare brutte sorprese.
Può essere, perciò, riassunto così il nuovo Regolamento UE 2016/679 – GDPR, che entrerà in vigore il prossimo 25 maggio 2018. E comporterà un cambiamento epocale sul fronte della protezione dei dati personali. Approvato dal Parlamento e dal Consiglio Europeo lo scorso 24 maggio 2016, il pacchetto di riforme definisce un quadro normativo che verrà utilizzato, allo stesso modo, in tutti gli Stati membri e, di conseguenza, rafforza i diritti fondamentali dei cittadini.
Essi saranno, a tutti gli effetti, i beneficiari, nell’epoca digitale, di regole più chiare e definite!
Avranno, quindi, la possibilità di accedere ai propri dati personali, che siano gestiti da enti o imprese, e richiederne la cancellazione (salvo alcune eccezioni).
Dovranno, inoltre, essere informati in caso di violazione degli stessi (i cosiddetti data breach).
Non affidate la gestione dei vostri dati personali a chiunque!
Il principio di responsabilizzazione, che noi seguiamo, ci obbliga ad un approccio prudente e lungimirante nel nostro lavoro! Non si tratta più di compilare semplice di modulistica; bisogna concretizzare una costante vigilanza, unita alla possibilità di dimostrare in ogni momento le azioni proattive messe in atto.
Se sei interessato analizza la nostra OFFERTA e CONTATTACI.
Professionisti e imprese godranno di diversi benefici! Sarà prevista, ad esempio, un’unica autorità di supervisione a livello europeo, come previsto da REGOLAMENTO UE 2016/679 – GDPR.
Questo semplificherà molte cose e quindi farà in modo che tutti prestino maggiore attenzione in tutte le operazione di trattamento dei dati!
«Il REGOLAMENTO UE 2016/679 – GDPR richiede un adeguamento, da parte delle aziende, in ambito di protezione dei dati personali», sottolinea Paolo Berro, ingegnere meccanico e ingegnere logistico e della produzione, responsabile dello Studio “Professionisti della Privacy”.
Lo Studio sta collaborando con diverse aziende italiane nella messa a norma del nuovo REGOLAMENTO UE 2016/679 – GDPR. I “Professionisti della Privacy” hanno avviato tutte quelle operazioni necessarie ad affrontare un cambiamento così importante.
«Le sanzioni così elevate e i rischi di non completa messa a norma ci hanno fatto capire che la nostra MISSION non sarà, tanto, quella di “operare il cambiamento” per conto di terzi. Dovremo di CONVINCERE DELLA REALE IMPORTANZA DELL’ESSERE A NORMA I NOSTRI CLIENTI!», conclude l’ingegnere.
Il principio chiave del REGOLAMENTO UE 2016/679 – GDPR viene sintetizzato in “privacy by design”. Ciò vuol dire che bisogna garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema, e adottare comportamenti che consentano di prevenire possibili problematiche.
Se sei interessato analizza la nostra OFFERTA e CONTATTACI.
Il regolamento europeo della protezione dei dati sostituisce le normative presenti in tutti gli stati membri dell’UE. E la legge diventa ben più severa ed esigente rispetto a quelle attuali, come dimostrano le pesanti sanzioni per il mancato rispetto del REGOLAMENTO UE 2016/679 – GDPR.
Inosservanza degli obblighi del titolare e del responsabile del trattamento, degli obblighi dell’organismo di certificazione e degli obblighi dell’organismo di controllo:
fino a 10 milioni di Euro, o per le imprese, fino al 2% del fatturato annuo mondiale dell’esercizio precedente.
Inosservanza dei principi base del trattamento, dei diritti degli interessati, delle disposizioni sul trasferimento dei dati personali in paesi terzi o verso organizzazioni internazionali, di un ordine, limitazione provvisoria o definitiva o di un ordine di sospensione dei flussi da parte dell’autorità di controllo:
fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.
Non risposta ad un ordine correttivo dell’autorità di controllo:
fino a 20 milioni di Euro, o per le imprese, fino al 4% del fatturato annuo mondiale dell’esercizio precedente.
In caso di violazione dei dati da parte di hacker o di altri malintenzionati: le autorità di vigilanza devono essere avvertite entro e non oltre le 72 ore dal data breach. E deve essere presentato, a difesa, il piano che spiega come l’azienda avrebbe potuto reagire reagire all’evento.
La decisione sull’applicazione delle sanzioni spetta all’autorità di controllo che, nella valutazione, tiene conto delle circostanze del singolo caso, ossia:
– della natura, gravità e durata della violazione
– del carattere doloso o colposo della violazione
– delle misure adottate per attenuare il danno subito dagli interessati
– delle eventuali precedenti violazioni commesse dal titolare del trattamento
– del grado di cooperazione con l’autorità di controllo
– degli eventuali altri fattori aggravanti
Perché questa severità?
Semplice: perché la protezione dei dati dei cittadini e delle aziende non può più essere qualcosa di teorico…non si contano più gli episodi di data breach (furto dei dati) a grandi e piccole aziende. Gli hacker sono costantemente in vantaggio: per come il pericolo è sottovalutato oggi dalle aziende (soprattutto le PMI), è come se volessimo difenderci da un attacco tecnologico con semplici spade e scudi. Il mondo è cambiato e, giocoforza, le aziende devono investire nella sicurezza informatica.
La deadline per mettersi in regola
Dal 25 maggio 2018 non ci sarà più tolleranza. Questo perché il Regolamento UE 2016/679 -GDPR, in realtà, è già in vigore dal 25 maggio 2016 in tutti gli stati membri dell’Unione Europea.
È stato dato, però, un periodo di 2 anni alle aziende per adeguarsi.
E, come accade spesso in Italia, ci accorgiamo del problema solo quando manca poco tempo o siamo già a rischio sanzioni!
Se sei interessato analizza la nostra OFFERTA e CONTATTACI.
Il REGOLAMENTO UE 2016/679 – GDPR rivoluziona, perciò, il modo in cui le imprese raccolgono, gestiscono e trattano i dati personali dei cittadini dell’Unione in tutta l’azienda. Attraverso sistemi informatici e non.
Con il nuovo REGOLAMENTO UE 2016/679 – GDPR le società saranno chiamate a un grande sforzo iniziale per quantificare e individuare i dati personali da loro gestiti. Anche (meglio dire “soprattutto”) la mentalità dovrà necessariamente cambiare.
La protezione dei dati personali deve diventare parte della cultura aziendale e deve partire dai livelli più alti, dall’amministratore delegato e dal management. I dipendenti devono poi essere sensibilizzati ed istruiti sul trattamento di dati personali e sensibili.
Dovranno essere consapevoli di cosa possono o non possono più fare.
I dati, infatti, sono il “petrolio dell’era digitale”! Servono a creare prodotti innovativi (in base alle richieste del mercato).
Con i dati è possibile formulare offerte mirate per i consumatori, convertendo persone sconosciute in clienti fidelizzati. Esistono ancora strumentazioni e applicazioni che non garantiscono una loro protezione adeguata (Internet delle cose, strumentazioni con connessione da remoto, servizi digitali personali). Attraverso i dati è possibile controllare, profilare e analizzare le persone (analisi comportamentale e Web marketing).
Se sei interessato analizza la nostra OFFERTA e CONTATTACI.
Rispetto alle norme vigenti in Italia, i campi di maggiore rilevanza introdotti dal REGOLAMENTO UE 2016/679 – GDPR riguardano degli obblighi.
Tutte queste attività devono essere oggetto di verifica periodica, da documentare CON CADENZA ALMENO ANNUALE!
Se sei interessato analizza la nostra OFFERTA e CONTATTACI.
Il garante della privacy, prima del REGOLAMENTO UE 2016/679 – GDPR, si è adeguato alla tecnologia del 2003, parliamo di 14 anni fa! Ora siamo sempre collegati, in un mondo interconnesso, con tutto e con tutti. Tutti i nostri dati sono sempre in mano a tantissime persone!
È stato necessario creare un fronte comune europeo, internamente ed esternamente all’UE!
Oggi i dati sono sicuramente FONTE di nuovi business: sono il nuovo “PETROLIO” e, come il petrolio grezzo, i dati, per avere un vero valore, devono essere RAFFINATI!
L’approccio alla privacy, quindi, è cambiato! Fino ad oggi, al centro della normativa privacy è stata posta la persona.
Con la nuova normativa il DATO acquista un valore in sé e viene tutelato per ciò che è!
Il nuovo REGOLAMENTO UE 2016/679 – GDPR trasforma la protezione dei dati personali da puro strumento giuridico in tema strategico per la nuova economia dei dati.
Rispetto all’attuale normativa italiana, quali saranno le grandi novità?
Di fatto, il REGOLAMENTO UE 2016/679 – GDPR cambia integralmente il concetto di privacy, creando un radicale cambio di pensiero, una rivoluzione culturale.
Si passa, quindi, da un approccio formale (fare quanto previsto dalla legge) a uno sostanziale (valutare la soluzione più adatta per il proprio caso concreto). Secondo l’attuale normativa italiana, infatti, titolari e responsabili sono chiamati ad adempiere a obblighi, formalità e misure minime previste dalla legge per esimersi da responsabilità.
Con il Regolamento Ue, invece, titolari e responsabili sono chiamati a ridisegnare e ripensare la propria privacy by design e by default.
In questo modo si potranno adottare, sin dall’inizio, tutte le migliori soluzioni adeguate al loro caso concreto e allo specifico livello di rischio. Solo così i responsabili potranno ridurre le loro responsabilità.
Se sei interessato analizza la nostra OFFERTA e CONTATTACI.
Con il nuovo REGOLAMENTO UE 2016/679 – GDPR, il TITOLARE ha un ruolo più PROATTIVO e soprattutto OBBLIGHI PIÙ PREGNANTI.
Questi obblighi, non sono solo finalizzati al formale rispetto delle regole, ma anche all’adozione di tutti gli accorgimenti tecnici e organizzativi necessari a GARANTIRE LA CONFORMITÀ effettiva dei trattamenti, anche sotto il profilo della sicurezza.
La vecchia normativa (DLgs 196/2003) si basava sui DIRITTI DELL’INTERESSATO, indicando ai titolari del trattamento un elenco di misure minime di sicurezza da adottare, senza le quali erano previste sanzioni.
Il nuovo REGOLAMENTO UE 2016/679 – GDPR è incentrato sui DOVERI e sulla RESPONSABILIZZAZIONE (nella normativa si parla di accountability) DEL TITOLARE del trattamento.
In pratica viene stabilito ex-novo che chi tratta dati DEVE predisporre dei PROCESSI DI VALUTAZIONE DI IMPATTO del trattamento dei dati personali!
L’informativa diventa finalmente uno STRUMENTO DI INFORMAZIONE, cessando di essere un ADEMPIMENTO.
Il TITOLARE deve fornire agli interessati tutte le informazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice, chiaro e senza riferimenti normativi.
Inoltre, fino ad oggi il consenso era FORMALE (consenso espresso). Adesso, lo stesso consenso diventa NON EQUIVOCO.Aggiorna
Nell’articolo 29 del Codice vengono fissate più dettagliatamente le caratteristiche dell’atto con cui il TITOLARE designa un RESPONSABILE DEL TRATTAMENTO, attribuendogli specifici compiti.
Attraverso un contratto (o altro atto giuridico conforme al diritto nazionale), il TITOLARE attribuisce al RESPONSABILE la responsabilità di definire accordi.
Questi, ad esempio, riguardano la natura, durata e finalità del trattamento o dei trattamenti assegnati, le categorie di dati oggetto di trattamento, le misure tecniche e organizzative. Tutto, ovviamente, deve essere adeguata a consentire il rispetto delle istruzioni impartite dal TITOLARE.
Al Data Protection Officer (DPO), secondo il REGOLAMENTO UE 2016/679 – GDPR, spettano compiti di sorveglianza sulla corretta applicazione del regolamento. Al TITOLARE spetta decidere se c’è già una figura aziendale adatta a ricoprire questo ruolo o se è necessario prevedere una nuova professionalità ed eventuali nuovi processi aziendali. Spetta al TITOLARE nominare il DPO.
Il DPO, se già ben informato, può provenire da differenti reparti all’interno dell’azienda.
La caratteristica fondamentale che deve avere chi ricopre questo ruolo è la profonda conoscenza del REGOLAMENTO UE 2016/679 – GDPR e delle sue complete applicazioni, in base alle specifiche e all’organizzazione aziendale.
Il DPO dovrà inoltre collaborare e fungere da contatto con l’Autorità garante mostrando il lavoro svolto in termini di documentazione (c.d. principio di accountability o di responsabilizzazione) delle misure di sicurezza adeguate ai rischi inerenti ai trattamenti de dati personali dell’organizzazione.
Se sei interessato analizza la nostra OFFERTA e CONTATTACI.