La legge, pur essendo simile al GDPR, ha diverse peculiarità e differenze che devono essere ben chiare, onde evitare il rischio di sanzioni da parte delle autorità competenti. Vale la pena notare che tra le sanzioni per le violazioni più gravi è anche prevista la revoca di eventuali licenze e permessi, un rischio da non sottovalutare e che potrebbe bloccare interamente il business di molte realtà.

Net Patrol ha fin da subito istituito una task force interna per affrontare questa legge, destinata ad avere un impatto simile al GDPR (e forse anche più). L’obiettivo è essere in grado di aiutare le aziende che oltre al GDPR si troveranno nella necessità di dover rispettare anche la PIPL.

Per ulteriori informazioni, consulta la nostra breve guida o contattaci direttamente!

L'articolo Personal Information Protection Law (PIPL), la svolta cinese per la protezione dei dati proviene da Netpatrol.

Fin da subito abbiamo deciso di partecipare a questa prima edizione della Privacy Week, sia come sponsor che come speaker.

Siamo da sempre fermi sostenitori del valore di privacy e cybersecurity nei contesti aziendali, come elementi in grado di migliorare il business e l’economia del nostro paese. Anche per questo fin dall’inizio supportiamo le attività di Privacy Network, che ormai è una delle organizzazioni più riconosciute a livello nazionale per tutto ciò che riguarda la privacy.

Le nostre partecipazioni alla Privacy Week 2021:

	Il 14 ottobre, Manuel Cacitti, esperto di information security, sarà ospite di una tavola rotonda che avrà ad oggetto la Direttiva europea NIS e la normativa italiana sul Perimetro nazionale di sicurezza cibernetica.
	Sempre il 14 ottobre, Alessandro Pezzot, avvocato esperto di diritto dell’informatica, descriverà un giorno tipico nel team DPO di Net Patrol, per offrire uno spaccato reale su questa nuova figura creata dal GDPR nel 2016.
	Anche il nostro Matteo Navacci, giurista esperto di privacy by design, nonché co-fondatore di Privacy Network, parteciperà attivamente a due tavole rotonde. La prima, il 14 ottobre, che avrà ad oggetto telemedicina e connected care, per affrontare insieme ad altri ospiti opportunità e rischi di questo nuovo aspetto della sanità italiana. La seconda, invece, il 15 ottobre – che avrà ad oggetto le tecnologie di identificazione biometrica e i rischi che ne derivano, con la partecipazione di Guido Scorza, membro del Collegio dell’Autorità Garante per la Protezione dei Dati.

Tutti gli interventi potranno essere seguiti in streaming sui canali (Youtube, LinkedIn, Facebook) di Privacy Network. Vi aspettiamo dall’11 al 15 ottobre alla Privacy Week 2021!

L'articolo Net Patrol partecipa alla Privacy Week 2021 proviene da Netpatrol.

Gli attacchi di phishing hanno successo perché fanno leva sulla psicologia delle persone, attraverso richieste e messaggi che sembrano legittimi e sono spesso difficili da distingure senza una formazione adeguata.

Per questo abbiamo deciso di offrire ai nostri clienti un innovativo servizio di phishing as a service – per combattere il fuoco con il fuoco.

Grazie a questo innovativo servizio le aziende possono organizzare vere e proprie campagne di phishing che somigliano in tutto e per tutto a tentativi reali di attacco. Le campagne saranno dirette ai dipendenti, a loro insaputa.

Una volta conclusa la campagna sarà il momento di analizzare i dati, che permetteranno di verificare le maggiori lacune e debolezze delle persone che hanno cliccato sui messaggi di phishing.

In questo modo sarà molto più semplice formare il personale in modo efficiente e intelligente, minimizzando i rischi di incorrere in attacchi che potrebbero costare cari all’azienda.

L'articolo Phishing per combattere il phishing proviene da Netpatrol.

Il Responsabile per la Protezione dei Dati, o Data Protection Officer (DPO) è la figura che è incaricata di sorvegliare il rispetto del Regolamento europeo sulla protezione dei dati (GDPR) e che ha il compito di offrire consulenza e guidare l’azienda nel trattamento dei dati personali.

Il Garante Privacy ci ricorda che:
 

• Il DPO può essere una persona fisica o una persona giuridica

• La carica di DPO può essere sia interna che esterna. Se interna, attenzione al conflitto d’interessi: NO direttori, responsabili IT, RSPP, uffici risorse umane/marketing, ecc.
• La designazione di DPO è obbligatoria per diversi soggetti, come:

1. Imprese assicurative
2. Settore utilities (telecomunicazioni, energia…)
3. Imprese di ricerca e selezione del personale, caf e patronati, società finanziarie e di revisione contabile
4. Call center
5. Imprese che offrono servizi informatici (es. SaaS)
6. Sanità e telemedicina

A questi soggetti devono aggiungersi le realtà che in ogni caso rientrano nei requisiti previsti dall’articolo 37 del GDPR.

La raccomandazione è quindi quella di fare sempre un’analisi oggettiva del trattamento di dati, e valutare l’obbligatorietà o meno di designazione del DPO, a prescindere dal settore di riferimento.

L'articolo Responsabile Protezione Dati (DPO) – le FAQ del Garante Privacy proviene da Netpatrol.

L’idea non è nuova: Apple è ormai famosa per valorizzare le caratteristiche di privacy e sicurezza dei suoi iPhone. Non è semplice però concretizzare il messaggio, soprattutto quando si parla di software complessi, destinati ad una vasta platea di soggetti (B2B o B2C).

Sempre più spesso capita che nella fase di selezione, i nuovi software siano valutati anche in relazione alla privacy. Le aziende sono sempre più alla ricerca di garanzie e informazioni utili per ciò che riguarda il rispetto del GDPR dei software che acquistano. D’altronde, è responsabilità dell’azienda trattare dati in conformità alla legge, e un software che non tiene conto della normativa può mettere in seria difficoltà un’azienda, esponendola anche a rischio di sanzioni.

Come dimostrare ai clienti la conformità del software?

Prima di tutto, è fondamentale tenere in considerazione i principi del GDPR fin dalle prime fasi di progettazione del software. In questo modo sarà possibile includere nel software tutte le misure necessarie per agevolare al cliente il rispetto del GDPR. Integrare i principi privacy nel ciclo di sviluppo del software può essere complesso, perché sono richieste competenze trasversali che gli sviluppatori spesso non hanno. Non sai come sviluppare i tuoi software secondo i principi della privacy by design? Leggi il nostro GDPR Insight: Privacy by design & privacy engineering!

Sviluppare un software secondo i principi di privacy by design non sempre basta, però. Il cliente ha bisogno di informazioni precise, semplici da comprendere, e complete. Per questo, abbiamo pensato al “patentino privacy” del software.

Il “patentino” privacy del software

Con alcune software house selezionate abbiamo analizzato i prodotti sviluppati e realizzato per loro un vero e proprio “patentino privacy” del software. Questa documentazione fornisce una descrizione dettagliata di ogni informazione necessaria a valutare il livello di conformità del software, sia dal punto di vista della privacy che della sicurezza. Il “patentino privacy” può essere un documento separato, o integrato alla documentazione tecnica del software.

La risposta dei clienti (e dei loro DPO) è stata superiore alle aspettative. La documentazione prodotta insieme è diventata vero e proprio perno centrale delle trattative commerciali. Questo tipo di documentazione non solo rassicura i clienti sulla bontà del software, ma diventa un vero e proprio biglietto da visita per la software house, che in piena trasparenza dimostra tutta la propria preparazione in una materia complessa come la privacy.

Per i clienti più esigenti, questa documentazione è anche una fonte utilissima di informazioni per sottoporre il trattamento di dati a valutazione d’impatto.

Ti interessa?

Se pensi che la tua software house sia pronta per sviluppare software secondo i principi di privacy by design, o se pensi che possa esserti utile corredare i tuoi software da un “patentino privacy“, contattaci!

L'articolo Il patentino privacy del tuo software proviene da Netpatrol.

Combinando il valore degli investimenti e i successivi benefits, Cisco ha calcolato un ROI medio di 2,7. Questo significa che per ogni dollaro speso, le aziende hanno avuto un ritorno di circa $2,70. Un valore indubbiamente destinato a crescere nei prossimi anni, anche grazie alla sempre più veloce e capillare diffusione dell’industria 4.0.

Quali sono i maggiori benefits riscontrati dalle aziende?

Le aziende intervistate da Cisco hanno indicato i seguenti campi di miglioramento:

Come posso investire in privacy senza buttare soldi?

Non tutti gli investimenti sono uguali, e non basta certo prevedere un ampio budget di spesa per portare a casa buoni risultati. Serve una strategia precisa e competenze. Noi abbiamo qualche consiglio:

1. Gap assessment

Un gap assessment è una fotografia dello stato attuale dell’azienda. Può essere più o meno approfondito, a seconda delle necessità. Ciò che conta è che grazie al gap assessment è possibile acquisire informazioni e indicatori utili a definire il livello di compliance aziendale. Non è mai troppo tardi per fare un gap assessment, ed anzi è utile ripeterlo periodicamente, soprattutto a seguito di modifiche nell’organizzazione aziendale o modifiche legislative (come ad esempio la recente invalidazione del Privacy Shield).

2. Sistema di gestione

Essere conformi al GDPR è complesso. L’approccio a cui eravamo abituati con la precedente normativa non funziona più. Ciò che chiede il GDPR è un monitoraggio e miglioramento continuativi dei processi interni, al fine di assicurare in ogni momento un livello adeguato di tutela dei diritti delle persone e sicurezza dei dati. In pratica, è necessario un sistema di gestione.

I sistemi di gestione non sono certo una novità. Il più famoso in Italia è probabilmente quello definito dallo schema di certificazione ISO 9001. Questi schemi esistono anche per privacy e sicurezza, e sono rispettivamente l’ISO 27701 e ISO 27001. Non è obbligatorio certificarsi, ma certamente seguire uno schema del genere fornisce una buona metodologia per affrontare le sfide del GDPR.

3. Acquisisci competenze specializzate

La privacy è una materia complessa, che richiede competenze trasversali (legal, cybersecurity, governance, risk management…) che difficilmente sono già presenti in azienda. Il consiglio è di dotarsi al più presto di persone in grado di supportare lo sforzo aziendale e con la capacità di diventare dei veri e propri business partners nel processo di trasformazione digitale e adeguamento al GDPR. In alcuni casi può essere utile incaricare un Data Protection Officer (DPO).

L'articolo La privacy in azienda vale 2,7 milioni di dollari proviene da Netpatrol.

Il 16 luglio 2020 ha segnato una data che verrà ricordata a lungo. La Corte di Giustizia, con la decisione ‘Schrems II’ ha invalidato il Privacy Shield UE-USA.

Il Privacy Shield era il principale strumento giuridico che regolava il trasferimento di dati personali dall’Unione Europea verso gli Stati Uniti.

La motivazione principale della decisione della Corte di Giustizia è la mancanza di garanzie adeguate da parte degli Stati Uniti in merito al rispetto della normativa europea privacy.

Negli Stati Uniti le autorità pubbliche e le agenzie di intelligence dispongono di enormi poteri di accesso ai dati trattati dalle aziende, a fronte di pochissime tutele per le persone – soprattutto per i cittadini europei.

Questo fatto ha determinato la decisione di invalidare il Privacy Shield, ritenuto uno strumento inadeguato per garantire il rispetto dei diritti dei cittadini europei.

E ora?

Non potendo più contare sul Privacy Shield, il principale strumento giuridico per rendere lecito il trasferimento di dati personali dall’Unione Europea agli Stati Uniti sono le Standard Contractual Clauses (SCC).

Le SCC sono uno strumento contrattuale con cui un esportatore (azienda italiana) ed un importatore (azienda statunitense) determinano le condizioni del trattamento di dati e le garanzie per il rispetto della normativa europea.

Le SCC possono essere utilizzate soltanto a fronte di una valutazione dei rischi riguardo all’importatore. Il titolare del trattamento/esportatore dovrà infatti valutare attentamente la concreta capacità dell’importatore/responsabile del trattamento di poter rispettare la normativa europea. In assenza di tali garanzie, neanche le SCC potranno essere usate validamente, e il titolare dovrà sospendere il trasferimento, o rischiare una sanzione per violazione del GDPR.

Nei fatti, difficilmente sarà possibile dimostrare l’esistenza di adeguate garanzie da parte delle aziende statunitensi, proprio a causa della legislazione degli Stati Uniti.

In ogni caso, è onere del titolare/esportatore adottare misure adeguate per assicurare il rispetto della normativa privacy e la tutela dei diritti delle persone, come già previsto dal GDPR per numerose altre questioni.

Quali effetti per le aziende italiane?

La sentenza della Corte ha una portata dirompente che è difficilmente valutabile in questo momento. Ciò che è certo è che i servizi statunitensi sono sempre più oggetto di scrutinio da parte delle autorità europee.

La sentenza è solo un ulteriore tassello che mostra la volontà di spostare il trattamento di dati all’interno dei confini virtuali dell’Unione Europea e dei paesi ritenuti adeguati dalla Commissione Europea, come Svizzera, Giappone, Nuova Zelanda, Canada.

Le aziende italiane ed europee, a fronte di una valutazione del rischio, dovrebbero iniziare un processo di esame delle possibili alternative ai servizi statunitensi utilizzati, soprattutto per quanto riguarda attività di trattamento di dati particolarmente sensibili, come quelli relativi alla salute, dati biometrici o dati di profilazione.

La maggior parte delle Autorità di supervisione nazionali (come il Garante Privacy italiano) non si sono ancora espresse, ma tutti attendiamo un commento del neo-eletto comitato del Garante Privacy.

L’unica ad aver già preso posizione è l’Autorità di Berlino (Berliner Beauftragte für Datenschutz und Informationsfreiheit) che ha già invitato le aziende tedesche a cambiare tempestivamente i propri provider di servizi Cloud, con obbligo di scegliere provider all’interno dell’Unione Europea, o in paesi che possano assicurare garanzie adeguate.

In questo momento di trasformazione digitale, in cui ogni paese del mondo si sta accorgendo dell’importanza dei dati (sia economica che politica), è sempre più importante per le aziende acquisire competenze in materia di protezione dei dati personali e affidarsi anche a Data Protection Officer in grado di valutare adeguatamente tutti questi rischi e guidare l’azienda in queste complesse tematiche.

L'articolo Privacy Shield invalidato, sentenza storica della Corte di Giustizia Europea proviene da Netpatrol.

La società aveva acquisito i dati di contatto attraverso specifiche operazioni a premi, con richiesta di consenso per ricevere comunicazioni di marketing. Tuttavia, qualcosa deve essere andato storto durante le operazioni. Nel comminare la sanzione l’autorità tedesca ha considerato alcune attenuanti, come la collaborazione da parte della società oggetto d’indagine e l’adozione di misure tecniche e organizzative per evitare che ciò accadesse di nuovo.

Rischi di questo tipo sono inevitabili, ma l’importante è adottare un approccio proattivo, che attraverso un sistema di gestione possa garantire al titolare del trattamento il monitoraggio e miglioramento continuativo dei processi interni. Non è sufficiente chiedere il consenso ai clienti. Il consenso in particolare è una base giuridica che necessita di molte attenzioni, mentre spesso viene utilizzata come una sorta di scarico di responsabilità. Il GDPR, in piena fase di rodaggio, sta già scardinando questo preconcetto.

Il consenso non è uno scarico di responsabilità sul cliente, ma anzi, una presa di responsabilità da parte del titolare, che deve curarne tutto il ciclo vita e assicurare che le aspettative e diritti dei clienti siano rispettati in ogni fase del trattamento. Una lezione costata cara alla società tedesca, che avrebbero potuto risparmiarsi se avessero prestato attenzione al principio di accountability.

Il comunicato ufficiale (in tedesco) è disponibile a questo link: https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-aok-baden-wuerttemberg-wirksamer-datenschutz-erfordert-regelmaessige-kontrolle-und-anpassung/

L'articolo Un’altra sanzione milionaria per marketing senza consenso proviene da Netpatrol.

Dal punto di vista dello sviluppo di app o servizi destinati alle aziende significa creare prodotti in grado di agevolare il rispetto dei requisiti di legge. Ad esempio: un applicativo CRM (Customer Relationship Manager) che non sia in grado di consentire una data retention granulare, o che non abbia determinate capacità di ricerca ed estrazione di dati personali, non sarà un prodotto appetibile sul mercato.

L’unione di competenze legali, competenze tecniche e metodologia, dà luogo all’attività chiamata privacy engineering, attraverso la quale è possibile integrare i processi di sviluppo di un software con i requisiti privacy.

Tra le migliori metodologie per la privacy engineering c’è il Secure Development Lifecycle (SDLC), che si presta bene ad integrare anche requisiti privacy oltre che di sicurezza.

Ne parla in modo approfondito il nostro Matteo Navacci, su Cybersecurity360: https://www.cybersecurity360.it/soluzioni-aziendali/app-mobile-e-privacy-by-design-regole-pratiche-di-sviluppo/

L'articolo App mobile e privacy by design, regole pratiche e metodologia per lo sviluppo proviene da Netpatrol.