Ma quali sono le novità introdotte con il D.Lgs. 24/2023? Rivediamole insieme.

Ricordiamo, innanzitutto, che il D.Lgs. 24/2023 recepisce la direttiva europea 2019/1937, la quale ha come obiettivo il rafforzamento delle tutele riconosciute ai c.d. whistleblowers, ossia i soggetti che segnalano gli illeciti di cui vengono a conoscenza nel contesto lavorativo.

Prima importante novità del decreto 24/2023 è sicuramente il campo di applicazione: la normativa, infatti, non si applica più solamente al settore pubblico, ma anche a quello privato, coinvolgendo tutte quelle aziende che hanno impiegato, nel corso dell’ultimo anno, una media di almeno 50 lavoratori subordinati o, anche al di sotto di tale soglia, qualora svolgano attività in determinati settori (ad esempio nei settori dei servizi, prodotti e mercati finanziari o prevenzione del riciclaggio) o abbiano adottato un modello di organizzazione e gestione di cui al d.lgs. 231/2001. È quindi evidente come la normativa interessi gran parte delle aziende.

L’altra importante novità riguarda l’obbligo, posto in capo a tali soggetti, di attivare un canale di segnalazione che garantisca la riservatezza dell’identità del segnalante, della persona coinvolta o menzionata nella segnalazione, del contenuto della segnalazione e della relativa documentazione. La gestione di tale canale di segnalazione interno può essere affidata ad un soggetto o ufficio interno, nonché ad un soggetto esterno, i quali devono garantire tutta una serie di attività, tra cui:

• Rilasciare al segnalante l’avviso di ricevimento della segnalazione entro sette giorni dalla ricezione,
• Mantenere le interlocuzioni con il segnalante, richiedendo, laddove necessario, eventuali integrazioni;
• Dare diligente seguito alle segnalazioni;
• Fornire riscontro alle segnalazioni entro tre mesi dall’avviso di ricevimento o, in mancanza, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione;
• Mettere a disposizione informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché per quelle esterne.

Infatti, è ammessa la possibilità di rivolgersi direttamente all’ANAC (attraverso una segnalazione, appunto, esterna) quando:

1. L’azienda non ha attivato alcun canale di segnalazione interno – a prescindere dal fatto che esso sia obbligatorio o meno – o quando il suddetto canale non è conforme;
2. Quando la segnalazione non ha avuto seguito;
3. Quando il segnalante ha fondati motivi di ritenere che alla segnalazione interna non sarebbe dato efficace seguito o dalla stessa potrebbe derivare un rischio di ritorsione;
4. Quando il segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo di imminente o palese per il pubblico interesse.

Infine, il segnalante potrà anche decidere di effettuare una divulgazione pubblica, sempre al ricorrere di determinate condizioni (ad esempio quando non viene dato riscontro alla segnalazione esterna).

Il D.Lgs. 24/2023 prevede un obbligo di riservatezza in capo ai soggetti che ricevono le segnalazioni: queste ultime, infatti, non possono essere utilizzate oltre quanto necessario a dare un adeguato seguito alle stesse e, non solo l’identità del segnalante ma anche tutte quelle informazioni da cui possa in qualche modo desumersi tale identità, non possono essere rivelate, a meno che non vi sia un consenso espresso del segnalante, essendo inoltre sottratte anche all’accesso agli atti amministrativi e al diritto di accesso civico generalizzato. Allo stesso modo, l’identità delle persone coinvolte è soggetta al medesimo obbligo di riservatezza fino a conclusione del procedimento.

È la normativa stessa che poi sottolinea la profonda interconnessione tra la disciplina del whistleblowing e la normativa in materia di protezione dei dati personali. È infatti evidente che se, da un lato, è fondamentale tutelare la riservatezza del segnalante, altrettanto vale per le informazioni aziendali che potrebbero essere ricomprese nelle segnalazioni. Ecco che allora sarà onere dell’azienda dotarsi di un canale di segnalazione in grado di garantire tali aspetti, utilizzando misure tecniche ed organizzative tali da assicurare un livello di sicurezza adeguato. Ma non solo. La norma richiede infatti che i rischi derivanti dal trattamento siano sottoposti a valutazione d’impatto e che siano disciplinati i rapporti con eventuali fornitori esterni, sottoscrivendo quindi le eventuali nomine a responsabile del trattamento.

Il decreto si occupa anche di definire i termini di conservazione delle segnalazioni e relativa documentazione, prevedendo che le stesse debbano essere conservate per il tempo necessario alla gestione della segnalazione, e comunque non oltre 5 anni dalla data di comunicazione dell’esito finale della procedura.

Il canale di segnalazione prescelto dalle aziende dovrà quindi combinare tutti questi aspetti, dimostrando così di essere compliant sia alla normativa di settore che al GDPR. È proprio per venire in contro a tali esigenze che Net Patrol ha sviluppato ACARA, piattaforma di whistleblowing pensata appositamente per una gestione delle segnalazioni tale da soddisfare tutte le normative in gioco.

ACARA ti permette infatti di trattare le tue segnalazioni in sicurezza, garantendo la riservatezza del segnalante e delle informazioni.

L'articolo E tu, sei in regola con la nuova normativa sul whistleblowing? proviene da Netpatrol.

Il titolo della seconda edizione della Privacy Week è “hack THE PRESENT TO shape THE FUTURE“. Conoscere e agire sul presente per plasmare il futuro. Un concetto molto vicino alla filosofia che ci guida da sempre nell’aiutare le aziende a navigare oggi i rischi del digitale, per costruire un futuro solido, fondato su privacy e cybersecurity.

Si preannuncia quindi una settimana ricca di contenuti e divulgazione per la nostra squadra, con ben tre interventi dal lunedì al venerdì.

Chi parteciperà alla Privacy Week 2022

Matteo Navacci	Claudio Basso	Alberto Di Noia

Inizia lunedì 26 settembre alle ore 14:30, il nostro Matteo Navacci, esperto consulente e divulgatore #privacy, che terrà uno speech dal titolo “Orizzonte 2030: cittadini o codici a barre?” in cui parlerà di meccanismi di sorveglianza di massa, identità digitale e social scoring; per capire cosa ci succede intorno e cosa possiamo aspettarci per il futuro.

Claudio Basso, esperto di #cybersecurity e incident response, interverrà poi mercoledì 28 settembre alle ore 10:20 con un speech su “Come gestire e reagire a un incidente informatico“, in cui spiegherà come le aziende e le pubbliche amministrazioni possono prepararsi e reagire ad incidenti e attacchi informatici, per evitare che possano trasformarsi in un disastro.

Infine, venerdì 30 settembre alle ore 16:10 Alberto Di Noia, CEO di Net Patrol, si troverà a moderare una tavola rotonda dal titolo “Impatto del data breach sulla governance del dato” insieme a importanti ospiti ed esperti di rilievo internazionale, come Gruppo Calzedonia, Salesforce, FCA Bank e Findomestic Banca. Una tavola rotonda densa e importante, per capire quale può essere l’impatto tecnico e legale di una violazione di dati.

Gli eventi saranno trasmessi in streaming sul sito della Privacy Week!

L'articolo Net Patrol sponsor Privacy Week 2022 proviene da Netpatrol.

La legge, pur essendo simile al GDPR, ha diverse peculiarità e differenze che devono essere ben chiare, onde evitare il rischio di sanzioni da parte delle autorità competenti. Vale la pena notare che tra le sanzioni per le violazioni più gravi è anche prevista la revoca di eventuali licenze e permessi, un rischio da non sottovalutare e che potrebbe bloccare interamente il business di molte realtà.

Net Patrol ha fin da subito istituito una task force interna per affrontare questa legge, destinata ad avere un impatto simile al GDPR (e forse anche più). L’obiettivo è essere in grado di aiutare le aziende che oltre al GDPR si troveranno nella necessità di dover rispettare anche la PIPL.

Per ulteriori informazioni, consulta la nostra breve guida o contattaci direttamente!

L'articolo Personal Information Protection Law (PIPL), la svolta cinese per la protezione dei dati proviene da Netpatrol.

Il Responsabile per la Protezione dei Dati, o Data Protection Officer (DPO) è la figura che è incaricata di sorvegliare il rispetto del Regolamento europeo sulla protezione dei dati (GDPR) e che ha il compito di offrire consulenza e guidare l’azienda nel trattamento dei dati personali.

Il Garante Privacy ci ricorda che:
 

• Il DPO può essere una persona fisica o una persona giuridica

• La carica di DPO può essere sia interna che esterna. Se interna, attenzione al conflitto d’interessi: NO direttori, responsabili IT, RSPP, uffici risorse umane/marketing, ecc.
• La designazione di DPO è obbligatoria per diversi soggetti, come:

1. Imprese assicurative
2. Settore utilities (telecomunicazioni, energia…)
3. Imprese di ricerca e selezione del personale, caf e patronati, società finanziarie e di revisione contabile
4. Call center
5. Imprese che offrono servizi informatici (es. SaaS)
6. Sanità e telemedicina

A questi soggetti devono aggiungersi le realtà che in ogni caso rientrano nei requisiti previsti dall’articolo 37 del GDPR.

La raccomandazione è quindi quella di fare sempre un’analisi oggettiva del trattamento di dati, e valutare l’obbligatorietà o meno di designazione del DPO, a prescindere dal settore di riferimento.

L'articolo Responsabile Protezione Dati (DPO) – le FAQ del Garante Privacy proviene da Netpatrol.

L’idea non è nuova: Apple è ormai famosa per valorizzare le caratteristiche di privacy e sicurezza dei suoi iPhone. Non è semplice però concretizzare il messaggio, soprattutto quando si parla di software complessi, destinati ad una vasta platea di soggetti (B2B o B2C).

Sempre più spesso capita che nella fase di selezione, i nuovi software siano valutati anche in relazione alla privacy. Le aziende sono sempre più alla ricerca di garanzie e informazioni utili per ciò che riguarda il rispetto del GDPR dei software che acquistano. D’altronde, è responsabilità dell’azienda trattare dati in conformità alla legge, e un software che non tiene conto della normativa può mettere in seria difficoltà un’azienda, esponendola anche a rischio di sanzioni.

Come dimostrare ai clienti la conformità del software?

Prima di tutto, è fondamentale tenere in considerazione i principi del GDPR fin dalle prime fasi di progettazione del software. In questo modo sarà possibile includere nel software tutte le misure necessarie per agevolare al cliente il rispetto del GDPR. Integrare i principi privacy nel ciclo di sviluppo del software può essere complesso, perché sono richieste competenze trasversali che gli sviluppatori spesso non hanno. Non sai come sviluppare i tuoi software secondo i principi della privacy by design? Leggi il nostro GDPR Insight: Privacy by design & privacy engineering!

Sviluppare un software secondo i principi di privacy by design non sempre basta, però. Il cliente ha bisogno di informazioni precise, semplici da comprendere, e complete. Per questo, abbiamo pensato al “patentino privacy” del software.

Il “patentino” privacy del software

Con alcune software house selezionate abbiamo analizzato i prodotti sviluppati e realizzato per loro un vero e proprio “patentino privacy” del software. Questa documentazione fornisce una descrizione dettagliata di ogni informazione necessaria a valutare il livello di conformità del software, sia dal punto di vista della privacy che della sicurezza. Il “patentino privacy” può essere un documento separato, o integrato alla documentazione tecnica del software.

La risposta dei clienti (e dei loro DPO) è stata superiore alle aspettative. La documentazione prodotta insieme è diventata vero e proprio perno centrale delle trattative commerciali. Questo tipo di documentazione non solo rassicura i clienti sulla bontà del software, ma diventa un vero e proprio biglietto da visita per la software house, che in piena trasparenza dimostra tutta la propria preparazione in una materia complessa come la privacy.

Per i clienti più esigenti, questa documentazione è anche una fonte utilissima di informazioni per sottoporre il trattamento di dati a valutazione d’impatto.

Ti interessa?

Se pensi che la tua software house sia pronta per sviluppare software secondo i principi di privacy by design, o se pensi che possa esserti utile corredare i tuoi software da un “patentino privacy“, contattaci!

L'articolo Il patentino privacy del tuo software proviene da Netpatrol.

Combinando il valore degli investimenti e i successivi benefits, Cisco ha calcolato un ROI medio di 2,7. Questo significa che per ogni dollaro speso, le aziende hanno avuto un ritorno di circa $2,70. Un valore indubbiamente destinato a crescere nei prossimi anni, anche grazie alla sempre più veloce e capillare diffusione dell’industria 4.0.

Quali sono i maggiori benefits riscontrati dalle aziende?

Le aziende intervistate da Cisco hanno indicato i seguenti campi di miglioramento:

Come posso investire in privacy senza buttare soldi?

Non tutti gli investimenti sono uguali, e non basta certo prevedere un ampio budget di spesa per portare a casa buoni risultati. Serve una strategia precisa e competenze. Noi abbiamo qualche consiglio:

1. Gap assessment

Un gap assessment è una fotografia dello stato attuale dell’azienda. Può essere più o meno approfondito, a seconda delle necessità. Ciò che conta è che grazie al gap assessment è possibile acquisire informazioni e indicatori utili a definire il livello di compliance aziendale. Non è mai troppo tardi per fare un gap assessment, ed anzi è utile ripeterlo periodicamente, soprattutto a seguito di modifiche nell’organizzazione aziendale o modifiche legislative (come ad esempio la recente invalidazione del Privacy Shield).

2. Sistema di gestione

Essere conformi al GDPR è complesso. L’approccio a cui eravamo abituati con la precedente normativa non funziona più. Ciò che chiede il GDPR è un monitoraggio e miglioramento continuativi dei processi interni, al fine di assicurare in ogni momento un livello adeguato di tutela dei diritti delle persone e sicurezza dei dati. In pratica, è necessario un sistema di gestione.

I sistemi di gestione non sono certo una novità. Il più famoso in Italia è probabilmente quello definito dallo schema di certificazione ISO 9001. Questi schemi esistono anche per privacy e sicurezza, e sono rispettivamente l’ISO 27701 e ISO 27001. Non è obbligatorio certificarsi, ma certamente seguire uno schema del genere fornisce una buona metodologia per affrontare le sfide del GDPR.

3. Acquisisci competenze specializzate

La privacy è una materia complessa, che richiede competenze trasversali (legal, cybersecurity, governance, risk management…) che difficilmente sono già presenti in azienda. Il consiglio è di dotarsi al più presto di persone in grado di supportare lo sforzo aziendale e con la capacità di diventare dei veri e propri business partners nel processo di trasformazione digitale e adeguamento al GDPR. In alcuni casi può essere utile incaricare un Data Protection Officer (DPO).

L'articolo La privacy in azienda vale 2,7 milioni di dollari proviene da Netpatrol.

Il 16 luglio 2020 ha segnato una data che verrà ricordata a lungo. La Corte di Giustizia, con la decisione ‘Schrems II’ ha invalidato il Privacy Shield UE-USA.

Il Privacy Shield era il principale strumento giuridico che regolava il trasferimento di dati personali dall’Unione Europea verso gli Stati Uniti.

La motivazione principale della decisione della Corte di Giustizia è la mancanza di garanzie adeguate da parte degli Stati Uniti in merito al rispetto della normativa europea privacy.

Negli Stati Uniti le autorità pubbliche e le agenzie di intelligence dispongono di enormi poteri di accesso ai dati trattati dalle aziende, a fronte di pochissime tutele per le persone – soprattutto per i cittadini europei.

Questo fatto ha determinato la decisione di invalidare il Privacy Shield, ritenuto uno strumento inadeguato per garantire il rispetto dei diritti dei cittadini europei.

E ora?

Non potendo più contare sul Privacy Shield, il principale strumento giuridico per rendere lecito il trasferimento di dati personali dall’Unione Europea agli Stati Uniti sono le Standard Contractual Clauses (SCC).

Le SCC sono uno strumento contrattuale con cui un esportatore (azienda italiana) ed un importatore (azienda statunitense) determinano le condizioni del trattamento di dati e le garanzie per il rispetto della normativa europea.

Le SCC possono essere utilizzate soltanto a fronte di una valutazione dei rischi riguardo all’importatore. Il titolare del trattamento/esportatore dovrà infatti valutare attentamente la concreta capacità dell’importatore/responsabile del trattamento di poter rispettare la normativa europea. In assenza di tali garanzie, neanche le SCC potranno essere usate validamente, e il titolare dovrà sospendere il trasferimento, o rischiare una sanzione per violazione del GDPR.

Nei fatti, difficilmente sarà possibile dimostrare l’esistenza di adeguate garanzie da parte delle aziende statunitensi, proprio a causa della legislazione degli Stati Uniti.

In ogni caso, è onere del titolare/esportatore adottare misure adeguate per assicurare il rispetto della normativa privacy e la tutela dei diritti delle persone, come già previsto dal GDPR per numerose altre questioni.

Quali effetti per le aziende italiane?

La sentenza della Corte ha una portata dirompente che è difficilmente valutabile in questo momento. Ciò che è certo è che i servizi statunitensi sono sempre più oggetto di scrutinio da parte delle autorità europee.

La sentenza è solo un ulteriore tassello che mostra la volontà di spostare il trattamento di dati all’interno dei confini virtuali dell’Unione Europea e dei paesi ritenuti adeguati dalla Commissione Europea, come Svizzera, Giappone, Nuova Zelanda, Canada.

Le aziende italiane ed europee, a fronte di una valutazione del rischio, dovrebbero iniziare un processo di esame delle possibili alternative ai servizi statunitensi utilizzati, soprattutto per quanto riguarda attività di trattamento di dati particolarmente sensibili, come quelli relativi alla salute, dati biometrici o dati di profilazione.

La maggior parte delle Autorità di supervisione nazionali (come il Garante Privacy italiano) non si sono ancora espresse, ma tutti attendiamo un commento del neo-eletto comitato del Garante Privacy.

L’unica ad aver già preso posizione è l’Autorità di Berlino (Berliner Beauftragte für Datenschutz und Informationsfreiheit) che ha già invitato le aziende tedesche a cambiare tempestivamente i propri provider di servizi Cloud, con obbligo di scegliere provider all’interno dell’Unione Europea, o in paesi che possano assicurare garanzie adeguate.

In questo momento di trasformazione digitale, in cui ogni paese del mondo si sta accorgendo dell’importanza dei dati (sia economica che politica), è sempre più importante per le aziende acquisire competenze in materia di protezione dei dati personali e affidarsi anche a Data Protection Officer in grado di valutare adeguatamente tutti questi rischi e guidare l’azienda in queste complesse tematiche.

L'articolo Privacy Shield invalidato, sentenza storica della Corte di Giustizia Europea proviene da Netpatrol.

La società aveva acquisito i dati di contatto attraverso specifiche operazioni a premi, con richiesta di consenso per ricevere comunicazioni di marketing. Tuttavia, qualcosa deve essere andato storto durante le operazioni. Nel comminare la sanzione l’autorità tedesca ha considerato alcune attenuanti, come la collaborazione da parte della società oggetto d’indagine e l’adozione di misure tecniche e organizzative per evitare che ciò accadesse di nuovo.

Rischi di questo tipo sono inevitabili, ma l’importante è adottare un approccio proattivo, che attraverso un sistema di gestione possa garantire al titolare del trattamento il monitoraggio e miglioramento continuativo dei processi interni. Non è sufficiente chiedere il consenso ai clienti. Il consenso in particolare è una base giuridica che necessita di molte attenzioni, mentre spesso viene utilizzata come una sorta di scarico di responsabilità. Il GDPR, in piena fase di rodaggio, sta già scardinando questo preconcetto.

Il consenso non è uno scarico di responsabilità sul cliente, ma anzi, una presa di responsabilità da parte del titolare, che deve curarne tutto il ciclo vita e assicurare che le aspettative e diritti dei clienti siano rispettati in ogni fase del trattamento. Una lezione costata cara alla società tedesca, che avrebbero potuto risparmiarsi se avessero prestato attenzione al principio di accountability.

Il comunicato ufficiale (in tedesco) è disponibile a questo link: https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-aok-baden-wuerttemberg-wirksamer-datenschutz-erfordert-regelmaessige-kontrolle-und-anpassung/

L'articolo Un’altra sanzione milionaria per marketing senza consenso proviene da Netpatrol.

Dal punto di vista dello sviluppo di app o servizi destinati alle aziende significa creare prodotti in grado di agevolare il rispetto dei requisiti di legge. Ad esempio: un applicativo CRM (Customer Relationship Manager) che non sia in grado di consentire una data retention granulare, o che non abbia determinate capacità di ricerca ed estrazione di dati personali, non sarà un prodotto appetibile sul mercato.

L’unione di competenze legali, competenze tecniche e metodologia, dà luogo all’attività chiamata privacy engineering, attraverso la quale è possibile integrare i processi di sviluppo di un software con i requisiti privacy.

Tra le migliori metodologie per la privacy engineering c’è il Secure Development Lifecycle (SDLC), che si presta bene ad integrare anche requisiti privacy oltre che di sicurezza.

Ne parla in modo approfondito il nostro Matteo Navacci, su Cybersecurity360: https://www.cybersecurity360.it/soluzioni-aziendali/app-mobile-e-privacy-by-design-regole-pratiche-di-sviluppo/

L'articolo App mobile e privacy by design, regole pratiche e metodologia per lo sviluppo proviene da Netpatrol.

Il riconoscimento facciale è un trattamento di dati personali biometrici, cioè quella categoria particolare di dati relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono l’identificazione univoca. In questo caso il dato biometrico è la “mappatura” degli elementi facciali al fine di riconoscere una specifica persona.

Gli usi, anche in ambito GDO, possono essere i più disparati: ad esempio, sarebbe possibile identificare le persone e monitorare gli accessi univoci all’interno di specifici punti vendita, fino anche a monitorare gli spostamenti e i comportamenti all’interno del punto vendita.

Il trattamento di dati biometrici deve rispettare condizioni molto più rigorose rispetto ai dati comuni, e pertanto non può ritenersi lecito in assenza di consenso del soggetto o di altre particolari situazioni, come per motivi di interesse pubblico rilevante, e purché autorizzato da norma di legge.

Ormai quasi tutti i settori si stanno velocemente spostando verso tecnologie che fanno largo uso di intelligenza artificiale e processi decisionali automatizzati, e mai come oggi è fondamentale avviare un processo di rinnovamento consapevole, che tenga conto dell’evoluzione della normativa europea e dei diritti delle persone – sempre più attente a come sono trattati i loro dati personali.

L'articolo Supermercati e riconoscimento facciale proviene da Netpatrol.