Anche le piccole imprese, come le medie e le grandi, devono dedicare attenzione alla cybersecurity, essendo anche loro a rischio attacco da parte di hacker anonimi o ransomware. Ecco cinque consigli pratici da implementare con minimo sforzo per fare un pò di sicurezza informatica.
Il primo consiglio: il più semplici da adottare è sicuramente l’utilizzo di password lunghe e senza dati personali, non condivise da tutti all’interno dell’azienda ma diversificate per ogni utente. Quest’ultima si ritiene infatti la scelta migliore attraverso l’attivazione di accessi personali sulle varie piattaforme, perché account condivisi usati da più persone potrebbero sfuggire al controllo e diventare una falla di sicurezza.
Fondamentale è quindi essere consapevoli di questa problematica.
Un altro utilissimo consiglio riguarda gli account non più utilizzati o in disuso per un periodo prolungato: occorre bloccare, nel primo caso, o sospendere temporaneamente l’utente, nel secondo, per evitare che il tutto cada nelle mani di malintenzionati e consentire loro l’accesso alle risorse dell’organizzazione.
Terzo consiglio: accade anche che si utilizzino computer e cellulari personali in contesti aziendali, sui quali non c’è alcun controllo. In questa situazione, si consiglia di bloccare o filtrare la navigazione dei PC non aziendali e spostare i device degli ospiti in una rete separata.
Quarto consiglio: vitale è il backup dei dati per poterli sempre salvare in caso di problematica riguardanti il server: è sempre necessario avere più copie di dati ed è meglio che almeno una di queste sia offline.
Secondo la regola del 3-2-1 è necessario conservare 3 copie dei dati, su 2 differenti storage di backup, con 1 copia mantenuta off-site.
Consiglio n. 5: da non sottovalutare è la sicurezza fisica all’interno dell’azienda. In particolare controllando che:
non ci sia libero accesso agli armadi di rete o alle prese di rete
la porta della sala macchine non sia aperta a chiunque
le chiavi di accesso siano in mano solo a persone autorizzate
Bisogna anche fare attenzione alla sicurezza di tutti dispositivi aziendali fissi e mobili: evitare di lasciare incustoditi i device mobili, di lasciare la postazione senza login o senza blocco all’accesso, sono alcune pratiche vantaggiose.
Consiglio n. 6: si consiglia inoltre di controllare le piattaforme cloud, soprattutto da quando si è diffusa la pratica dello smart working che ha spinto molto l’adozione del cloud, poter far lavorare i collaboratori da remoto e accedere in maniera veloce ai servizi SaaS. Anche in questo caso, i sistemi in cloud devono avere un backup e una verifica precisa del ciclo di vita degli utenti.
Consiglio n. 7: in azienda è importante formare i dipendenti in materia di cybersecurity e privacy per cercare di prevenire l’errore umano, anticipando e correggendo pratiche pericolose.
Il consiglio di fondo è semplice: cercare e condividere le informazioni con le persone in azienda per creare quella cultura sulla cybersecurity che serve per minimizzare i richi e le minaccie informatiche.
Google Analytics viola la normativa sulla protezione dei dati. È il Garante per la privacy ad affermarlo a seguito di un’istruttoria eseguita in coordinamento con altre autorità privacy europee.
Dopo una serie di reclami, il Garante ha avviato una indagine da cui è emerso che i dati degli utenti che navigano su siti web che implementano le funzionalità di Google Analytics, vengono trasferiti negli Stati Uniti, Paese privo di un adeguato livello di protezione.
In particolare, i gestori dei siti web che utilizzano Google Analytics raccolgono, mediante cookie, informazioni sulle interazioni degli utenti dei siti, le singole pagine visitate e, soprattutto, l’indirizzo IP del dispositivo dell’utente (considerato dato personale) con le informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché data e ora della visita al sito web.
L’Autorità, quindi, richiama all’attenzione di tutti i gestori italiani di siti web, pubblici e privati, sull’ illiceità dei trasferimenti effettuati verso gli Stati Uniti attraverso GA e invita tutti i titolari del trattamento a verificare la conformità delle modalità di utilizzo di cookie e altri strumenti di tracciamento utilizzati sui propri siti web, con particolare attenzione a Google Analytics e ad altri servizi analoghi, nel rispetto della normativa in materia di protezione dei dati personali Reg UE 2016/679.
Al termine dei 90 giorni assegnati alla società destinataria del provvedimento, il Garante dopo attività ispettive, procederà a verificare la conformità al Regolamento Ue dei trasferimenti di dati effettuati dai titolari.
Come consulenti, per lo sviluppo di siti ecommerce e corporate, il nostro compito è quello di seguire ed affiancare le imprese in questo mondo, ed uno degli aspetti più importanti per chi gestisce un ecommerce è sicuramente l’analisi dei dati degli utenti che navigano il proprio sito. Per questo abbiamo messo a punto una strategia che permette di integrare soluzioni open source o a pagamento per continuare ad analizzare i dati di traffico e degli utenti dei siti, e nel pieno rispetto dell‘ Autorità e delle normativi di riferimento.
Compila il form per un’ analisi gratuita del tuo sito.
Il beneficio Transizione 4.0 ha sostituito l’ Industria 4.0, ed è stato introdotto dal 2021. Con il nuovo piano Transizione sono state anche aumentate le aliquote ed il massimale annuo. Circolare 4E del 30/03/2017 AdE e MISE, L. di Bilancio 2021 n,178/2020 Art1, commi da 1051 a 1064. Beni strumentali interconnessi. Credito di imposta beni strumentali interconnessi aliquote:
– 50% (40% nel 2020) del valore dei beni materiali acquistati fino a 2,5 Milioni di euro
– 30% del valore dei beni materiali
acquistati oltre i 2,5 Milioni di euro
– 10% del valore dei beni materiali
per acquisti olter i 10ml fino a 20ml di euro.
– 20% (15% nel 2020) dei beni
immateriali (software) fino ad 1ml di euro.
Il credito di imposta può essere usato già del nell’anno dell’investimento, subito dopo l’avvenuta interconnessione dei beni. La misura non è tassata e può essere cumulata con altre agevolazioni a condizione che il cumulo non faccia superare il totale del costo sostenuto.
Adempimenti:
le imprese
che godono delle agevolazioni 2021 devono effettuare una comunicazione
al Ministero dello sviluppo economico;
la perizia
giurata è
obbligatoria per beni di valore superiore o uguale a 300.000 euro
(nel 2020 era perizia semplice);
le fatture e
gli altri documenti relativi all’acquisizione dei beni agevolati
devono contenere l’espresso
riferimento alle
disposizioni dei commi da 1054 a 1058 dell’art.1 della Legge 178 del
30 dicembre 2020.
“Beni
agevolabili secondo l’art. 1 della legge n.160 del 2019 e legge 178
del 2020”
Compensazione:
F24 con codice
tributo istituito dalla AdE n. 3/E del 2021
Quote 3
annuali dall’anno di intreta in funzione dei beni.
Caratteristiche
dei beni e dei macchinari:
beni
materiali (macchine, attrezzature, ecc.) elencati in allegato A
della legge;
beni
immateriali (licenze, software, sistemi) elencati in allegato B
della legge, indispensabili per fare funzionare i beni materiali in
allegato A.
L’Allegato
A (beni materiali elenca
3 CATEGORIE di beni:
A1: beni
strumentali con funzionamento controllato da sistemi computerizzati
e/o gestiti tramite opportuni sensori e azionamenti (ad esempio
macchine per la produzione, imballaggio, lavorazione, macchine
utensili, ecc.);
A2: sistemi
per l’assicurazione della qualità e della sostenibilità (ad
esempio sistemi di sensori, sistemi per la tracciabilità dei
prodotti, ecc.);
A3:
dispositivi per l’interazione uomo macchina e per il miglioramento
dell’ergonomia e della sicurezza del posto di lavoro in logica 4.0
(ad esempio sistemi di sicurezza per prevenire infortuni, diminuire
errori ed aumentare l’efficienza).
L’Allegato
B (beni immateriali),
invece, come beni ammortizzabili prevede programmi e applicazioni
acquistati da aziende che già investono in beni materiale in logica
industria 4.0 (ad esempio software, sistemi e system integration,
piattaforme e applicazioni).
All’allegato B
originario, la legge di bilancio 2018, ha aggiunto i seguenti beni:
sistemi di
gestione della supply chain finalizzata al drop shipping
nell’e-commerce;
software e
servizi digitali per la fruizione immersiva, interattiva e
partecipativa, ricostruzioni 3D, realtà aumentata;
software,
piattaforme e applicazioni per la gestione e il coordinamento della
logistica con elevate caratteristiche di integrazione delle attività
di servizio.
Le macchine in
elenco A1 devono avere tutte e 5 queste caratteristiche:
controllo per
mezzo di CNC e/o PLC (vedi nota 1 sotto);
interconnessione
ai sistemi informatici di fabbrica;
integrazione
con il sistema logistico della fabbrica e/o altre macchine;
interfaccia
uomo macchina semplice ed intuitiva;
rispondenza
ai più recenti standard in termini di sicurezza.
Caratteristiche
aggiuntive:
La macchina
deve avere almeno 2 caratteristiche tra queste 3 elencate:
sistemi di
telemanutenzione e/o telediagnosi e/o controllo in remoto;
monitoraggio
in continuo delle condizioni di lavoro e dei parametri di processo
mediante opportuni set di sensori e adattività alle derive di
processo;
caratteristiche
di integrazione tra macchina fisica e/o impianto con la
modellizzazione e/o la simulazione del proprio comportamento nello
svolgimento del processo (sistema cyberfisico) (vedi nota 2 sotto).
La Circolare
4E del 30/03/2017 ha chiarito che la caratteristica
dell’interconnessione ai sistemi informatici di fabbrica con
caricamento da remoto di istruzioni e/o part program è soddisfatta
se:
il bene
scambia informazioni con sistemi interni (es.: sistema gestionale,
sistemi di pianificazione, sistemi di progettazione e sviluppo del
prodotto, monitoraggio, anche in remoto, e controllo, altre macchine
dello stabilimento, ecc.) per mezzo di un collegamento basato su
specifiche documentate, disponibili pubblicamente e
internazionalmente riconosciute (esempi: TCP-IP, HTTP, MQTT, ecc.);
inoltre, il
bene deve essere identificato univocamente, al fine di riconoscere
l’origine delle informazioni, mediante l’utilizzo di standard di
indirizzamento internazionalmente riconosciuti (es.: indirizzo IP).
Come
accedere al beneficio:
L’impresa
deve acquistare i beni, materiali o immateriali, dal 16
novembre 2020 fino
al 31 dicembre 2021,
oppure deve emettere l’ ordine e pagare un acconto maggiore del 20%
entro il 31 dicembre 2021 e mettere in funzione il bene entro il 30
giugno 2022.
Le imprese
che si avvalgono di tali misure effettuano una comunicazione al
Ministero dello Sviluppo Economico (MISE).
Con apposito decreto direttoriale del Ministero dello sviluppo
economico sono stabiliti il modello, il contenuto, le modalità e i
termini di invio della comunicazione in relazione a ciascun periodo
d’imposta agevolabile.
L’agevolazione
verrà poi goduta dall’impresa come credito di imposta utilizzabile,
solo in compensazione con il mod. F24, in 3
quote annuali (erano
5 nel 2020) di pari importo a decorrere dall’anno di entrata in
funzione dei beni.
Per una spesa
fino a 300K euro basta una dichiarazione di atto notorio del legale
rappresentante
Per una spesa
superiore ai 300k euro serve una perizia tecnica asseverata o un
atestato di certificazione.
Occorre una
attestazione per ogni singolo bene.
L’attestazione
va fatta entro il periodo di imposta in cui il bene entra in funzione
e dal momento dell’interconnessione per beneficiare del 50% del
credito di imposta.
La
tua impresa è pronta ad affrontare i cambiamenti del digitale?
Arriva
una nuova opportunità dal Ministero per lo Sviluppo Economico:
VOUCHER PER CONSULENZA IN INNOVAZIONE.
Grazie
all’esperienza acquisita negli anni, ed essendo Innovation Manager
regolarmente iscritto, possiamo aiutarti per la consulenza e la
presentazione della tua domanda.
Di
seguito ti forniamo una breve presentazione del progetto, i servizi e
le categorie alle quali è rivolto.
Il
Ministero dello Sviluppo Economico (MISE), mette a disposizione per
le imprese degli incentivi volti a
sostenere i processi
di trasformazione tecnologica e digitale delle PMI e delle reti di
impresa.
Le
risorse a disposizione dei Voucher Innovation Manager per il 2019 e
il 2020 ammontano a 50 milioni di euro, per finanziare
l’inserimento nella tua azienda (o rete d’impresa) una figura
professionale altamente specializzata (INNOVATION
MANAGER) in grado di implementare processi volti a:
cyber
security;
integrazione
e sviluppo digitale dei processi aziendali;
Ma
anche per consulenze volte ad orientare i processi di
ammodernamento degli assetti gestionali e organizzativi, compreso
l’accesso ai mercati finanziari e dei capitali.
il
contributo concedibile è differenziato in funzione della tipologia
di beneficiario e sotto forma di Voucher ed è pari a:
Micro
e piccole: contributo pari al 50% dei costi sostenuti fino ad un
massimo di 40 mila euro
Medie
imprese: contributo pari al 30% dei costi sostenuti fino ad un
massimo di 25 mila euro
Reti
di imprese: contributo pari al 50% dei costi sostenuti fino ad
un massimo di 80 mila euro
Le spese
ammissibili al contributo devono essere sostenute a titolo
di compenso per le prestazioni di consulenza specialistica rese da un
manager dell’innovazione qualificato, indipendente e inserito
temporaneamente, con un contratto di consulenza di durata non
inferiore a nove mesi, nella struttura organizzativa
dell’impresa o della rete.
Il
contributo è in regime “de minimis” ai sensi del
Regolamento (UE) n. 1407/2013.
Chi
può ricoprire il ruolo di Innovation Manager?
Il
manager dell’innovazione è un professionista che si occupa di
favorire processi di digitalizzazione e riorganizzazione aziendale e
per sviluppare competenze, sul piano tecnico e manageriale, in grado
di consentire la gestione dei profili di complessità organizzativa e
produttiva che impone la trasformazione tecnologica.
L’innovation
manager è un professionista, o una organizzazione, che
deve avere ampia, recente e provata esperienza manageriale
maturata in contesti che hanno sviluppato innovazione, in
particolare relativamente ad alcuni ambiti chiave del digitale e
dell’industria 4.0; deve essere qualificato, indipendente e
inserito temporaneamente nell’impresa o nel network di imprese che
richiede il voucher, tramite un contratto di durata non inferiore
ai nove mesi.
Come
richiedere i voucher.
Dal
7 al 26 novembre è possibile richiedere il voucher attraverso
la figura dell’ Innovation Manager.
L’iter
di presentazione della domanda è articolato in tre fasi.
la
documentazione necessaria dovrà pervenire entro e non oltre il 22
novembre, in modo da poter valutare entro la scadenza del 26
novembre, la fattibilità e predisporre il progetto da inserire nella
tua azienda.
Erogazione
del contributo.
Una
volta ammessi all’agevolazione, l’erogazione del voucher avverrà
in due quote.
Il
soggetto beneficiario potrà richiedere l’erogazione della prima
quota, pari al 50% delle agevolazioni concesse, successivamente alla
realizzazione di almeno il 25% delle attività previste dal contratto
e al pagamento delle relative spese.
L’erogazione
del saldo, invece, potrà essere richiesta dopo la conclusione delle
attività previste dal contratto e al pagamento delle relative spese
e comunque entro 60 giorni dalla data di emissione del titolo di
spesa a saldo.
Contattaci per
eventuali informazioni e documentazione.
Chiunque oggi ha sentito parlare almeno una volta di Blockchain o
ancor peggio ha partecipato o ha dato inizio a conversazioni su
questo argomento senza sapere realmente di cosa si stesse parlando.
Oggi la parola Blockchain riconduce quasi sempre le discussioni alle
cryptovalute ed è forse proprio questo il motivo di tanto
scetticismo e reticenza legate a questa che, oltre ad essere una
parola è una tecnologia ed è a quelli meno informati o più lontani
da questa tecnologia, che questa parola fa paura. Effettivamente la
prima Blockchain usata nella storia di questa tecnologia è legata
alla famosa cryptovaluta Bitcoin, ed associata al fascino del mistero
legato al nome di Sathosi Nakamoto che ne parlò per primo in un suo
articolo del 2008 anche se con due parole separate block e chain.
L’ obiettivo di questo articolo è quello di mostrare agli occhi
dei molti la questione da un altro punto di vista e cioè da quello
delle DLT (Distribution Ledge Thecnology) ovvero la tecnologia dei
registri distribuiti. Ebbene la Blockchain altro non è che una
tecnologia DLT, un registro costituito da un libro mastro distribuito
fra più nodi di una rete, in questo caso quella di internet, dove
ogni nodo grazie allo scambio crittografato di una chiave pubblica ed
una privata può garantire l’autenticità delle scritture delle
informazioni nel blocco minimo di dati, senza la necessità di un
ente certificatore. Ogni scrittura o blocco di dati aggiunto al
registro viene poi sottoscritto secondo le regole del consenso dagli
altri nodi della rete, rendendo il blocco non più modificabile e
garantendone la sua originalità.
Rappresentato così ecco che ci troviamo difronte ad una sorta di
registro pubblico dove tutti possono sapere come e quando sono state
aggiunte delle scritture, ma non solo, tutti i nodi certificano
l’originalità e la regolarità delle stesse, conservando inoltre
ogni nodo una copia dello stesso registro. Ad ogni operazione viene
poi associata anche una sorta di marca temporale o timestamp che
certifica anche il giorno e l’ora della scrittura.
Fatto proprio il concetto di immutabilità delle operazioni grazie ai
protocolli crittografici ed al consenso dei nodi, con questo esempio,
ecco espresso e rappresentato il concetto delle tecnologie
distribuite DLT.
Bene, adesso pensiamo a quanti registri pubblici conosciamo e a
quanti ne consultiamo quotidianamente o quante informazioni scambiamo
che vorremo venissero cristallizzate nel tempo per essere conservate
e magari per sempre. Pensiamo alla possibilità che questi registri
possano essere governati in modo tale da definire prima chi sono i
nodi che ne devono dare il consenso e registrare le informazioni, ed
ecco realizzate delle DLT basate su Blockchain private o
permissioned, dove le regole vengono definite dalla governance alla
base della Blockchain stessa, definendo i criteri di accesso e
comportamento.
Con questa tecnologia tutti i nodi sanno sempre ed in qualsiasi
momento tutto di tutti e di tutte le transazioni o scritture
registrate, garantendo un grado di fiducia, di tracciabilità e
sicurezza unici.
Lo studio analizza l’impatto di queste tecnologie nel mondo delle
istituzioni, della finanza, della salute, della sicurezza e dei dati,
oltre che per il trasferimento degli stessi fra i paesi membri. Nel
2018 la commissione ha istituito l’ “Osservatorio e Forum europeo
sulla Blockchain” creando ed aderendo inoltre alla “Blockchain
Partnership” siglata dagli stati membri. Per l’Italia il
coordinamento del piano è stato affidato all’ Agenzia per l’Italia
del Digitale AGID.
L’attenzione verso queste tecnologie è stata calamitata anche
grazie allo studio ed alla pubblicazione del GDPR.
Altro aspetto che denota il fatto che l’argomento stia molto a
cuore alla Comunità Europea è dato dagli investimenti che la stessa
sta facendo nel risolvere il problema della identità internazionale
dei cittadini degli stati membri e negli scambi transfrontalieri.
Chissà se proprio DLT e Blockchain non riescano a risolvere
quest’ultimo problema e a garantire processi di trasferimento e
sicurezza dell’identità e dei dati.
L’Italia ha avuto al riguardo un atteggiamento cauto come la
maggior parte dei paesi membri, ma è fondamentale nel quadro
giuridico del nostro paese, che si sia dato atto con il DL
Semplificazioni 2019 al riconoscimento legale e quindi agli effetti
giuridici della validazione temporale dei documenti informatici
memorizzati tramite registri distribuiti. Certo questa apertura è
fondamentale in un processo di evoluzione nel riconoscimento di
queste tecnologie come strumenti utili per garantire la trasparenza
per esempio nelle attività di pubblica amministrazione o di un
pubblico registro, ma per questo occorrono delle norme specifiche che
permettano di regolamentare Blockchain, DLT e smart contract, cosa
che in maniera audace ha fatto Malta e la Confederazione Elvetica.
C’è da scommettere che fra non molto gli stati membri o la stessa
UE dovranno adottare ed approvare norme specifiche condivise per
regolamentare a livello europeo queste tecnologie, ed il valore
legale delle stesse nei rapporti fra cittadini e con le istituzioni.
Usi pratici
Il sistema Blockchain rappresenta oggi grazie a queste tecnologie, un
sistema autonomo ed indipendente. Ecco il motivo di tanto scetticismo
e di tanto antagonismo ma allo stesso tempo la grande opportunità
che questa tecnologia può rappresentare. Pensate all’impatto
economico per il sistema finanziario senza l’obbligo di istituti
che devono garantire transazioni, o scritture economiche, o a
qualsiasi altro ente o provider che debba garantire lo scambio di
informazioni e/o certificare le operazioni.
DLT e Blockchain rappresentano oggi una sfida volta alla ricerca
della migliore applicazione pratica, da quelle di uso quotidiano
(pubblica amministrazione, finanza e banche, assicurazioni,
tracciabilità dei prodotti, pagamenti elettronici, copyright ecc.)
ma la vera sfida è nelle applicazioni tecnologiche (IoT, industria,
sanità e smart contract).
Esistono diverse applicazioni pratiche, ed alcune di queste anche di
estremo interesse per l’uso quotidiano e per la rilevanza dell’
interazione per i cittadini. Uno di questi è la FoodChain
(https://food-chain.it/)
che ha come obiettivo quello di tracciare in maniera univoca un
prodotto alimentare in tutto il percorso che questo compie finchè
non viene reso disponibile a scaffale per essere acquistato
dall’utente finale. Ma il mondo dei prodotti alimentari è ricco di
diverse esperienze come quella di alcune cantine italiane che hanno
affidato la tracciabilità dei loro prodotti in bottiglia alla DNV GL
con il progetto My Story (https://www.dnvgl.it/mystory/index.html).
Un altro progetto tutto italiano è quello della Ez Lab
(https://www.ezlab.it/it/i-nostri-progetti/agriopendata-progetto/
) che permette di orientare gli agricoltori alla traccibilità e
certificazine dei prodotti grazie alla blockchian e gli smart
contract.
Il mondo che ha però subito la maggiore influenza, probabilmente per
la vicinanza alle cryptovalute è stato quello finanziario e delle
assicurazioni. Un esempio pratico che usa smart contract e blockchein
è quello del gruppo AXA, che ha ideato un servizio che permette di
registrare il contratto di assicurazione (https://fizzy.axa/it/
) del proprio volo tramite la Blockchain Etherum per garantire il
contratto e la sua immutabilità ed avviare il rimborso automatico se
previsto. Altro esempio tutto italiano è dato dalla SIA
(https://www.sia.eu/it/innovazione/siachain
) che ha sviluppato in collaborazione con R3 una rete di 580 nodi in
tutta Europa per sviluppare e rivendere servizi basati su Blockchain,
ed ecco a tal proposito un esempio di uso pratico per le PA, è di
febbraio di quest’anno infatti l’accordo fra SIA e Comune di Bari
per
(https://www.sia.eu/it/media-eventi/news-comunicati/pa-digitale-comune-di-bari-avvia-con-sia-primo-progetto-blockchain-in-italia-per-gestire-le-fideiussioni
) garantire l’autenticità ed il rilascio di polizze fideiussorie,
basato proprio sulla SiaChain.
Di esempi ce ne sono ancora diversi tutti interessanti, e
quotidianamente se ne presentano sempre di nuovi.
Una scommessa basata sulla
trasparenza e la fiducia
Certo oggi questa tecnologia rappresenta una scommessa, ma ci sono
ancora diverse problematiche da superare, in primis quello di dar
vita ad un quadro normativo che permetta l’uso delle stesse e che
normizzi i rapporti fra chi le implementa, i nodi e gli utilizzatori.
Altro problema non di poco conto, è dato dalla necessità di
garantire in qualche modo le piattaforme per permettere di
identificare un adeguato livello di fiducia da parte degli
utilizzatori verso le stesse, ed in ultimo ma non meno importante,
quello della trasparenza, che è legato all’uso di sistemi che
possano garantire a tutti gli utenti, in qualsiasi istante ed anche
senza competenze specifiche, di verificare quello che è stato
riportato nelle singole scritture, per garantire la trasparenza delle
stesse e nella piattaforma e perché no, con l’accesso ad una
Blockchain delle Blockchain con nodi distribuiti e garantiti dalla
possibilità di poter essere implementatati e consultati da parte di
chiunque lo voglia.
Non resta che aspettare gli sviluppi che questa tecnologia porterà
nelle case, nelle imprese, nelle comunità e nella PA, sempre che non
rappresenti un’ utopia. Oggi siamo ancora agli albori nella ricerca
del migliore uso di questa tecnologia ed il confronto è altissimo ed
a tutti i livelli. Il nostro paese ha ancora da recuperare terreno e
l’ Unione Europea sta cercando di trascinare tutti i paesi in una
direzione unica e condivisa. A questo punto…non ci resta che
attendere…
Con il Provvedimento n. 146 del 5 giugno 2019 (link) pubblicato nella news letter n, 456 del 22 Luglio 2019 e sulla Gazzetta Ufficiale Serie Generale n. 176 del 29 luglio 2019, il Garante per la privacy ha dettato le nuove prescrizioni relative al trattamento dei dati particolari/sensibili (art. 9 del Regolamento).
Nello specifico, l’attenzione posta dal Garante,
riguarda gli obblighi che dovranno essere rispettati sia da soggetti pubblici,
che da soggetti privati nel trattamento di dati particolari, giustificato dalle
finalità per cui essi vengono raccolti.
Le prescrizioni sono relative: ai rapporti di
lavoro; all’uso da parte di associazioni, fondazioni, associazioni, chiese e comunità religiose; le
investigazioni private; dati genetici e sperimentazioni cliniche.
Per quanto concerne le investigazioni private il trattamento delle categorie
particolari di dati personali può essere effettuato unicamente per
l’espletamento dell’incarico ricevuto ed in particolare:
a) per permettere a chi
conferisce uno specifico incarico, di fare accertare, esercitare o difendere un
proprio diritto in sede giudiziaria che, quando concerne dati genetici,
relativi alla salute, alla vita sessuale o all’orientamento sessuale della
persona, deve essere di rango pari a quello del soggetto al quale si
riferiscono i dati, ovvero consistere in un diritto della personalità o in un
altro diritto o libertà fondamentale;
b) su incarico di un
difensore in riferimento ad un procedimento penale, per ricercare e individuare
elementi a favore del relativo assistito da utilizzare ai soli fini
dell’esercizio del diritto alla prova.
Gli investigatori
privati non possono intraprendere di propria iniziativa investigazioni,
ricerche o altre forme di raccolta dati. Tali attività devono essere conferite
sulla base di un apposito incarico conferito per iscritto.
Il Garante specifica
inoltre che l’atto dell’incarico deve menzionare in maniera specifica il
diritto che si intende esercitare in sede giudiziaria, ovvero il procedimento
penale al quale l’investigazione è collegata, nonché i principali elementi di
fatto che giustificano l’investigazione e il termine ragionevole entro cui
questa deve essere conclusa.
Deve inoltre essere
fornita all’interessato l’informativa di cui gli articoli 13 e 14 del
Regolamento (UE) 2016/679, salvo che questa rischi di rendere impossibile o di
pregiudicare gravemente il conseguimento delle finalità di tale trattamento.Una volta terminata l’attività difensiva, il trattamento deve cessare in
ogni sua forma, fatta eccezione per l’immediata comunicazione al difensore o al
soggetto che ha conferito l’incarico i quali possono acconsentire all’eventuale
conservazione temporanea al solo fine di dimostrare la correttezza e la liceità
del proprio operato.
Tutti gli amministratori di fanpage Facebook si chiederanno cosa mai potrà esserci di così importante da gestire nel rispetto del GDPR sulle pagine social se ogni utente che accede a Facebook ha già espresso il consenso informato al trattamento dei sui dati durante la fase di registrazione al famoso social.
Un argomento di cui si discute poco in questi giorni riguardo al “GDPR” è la gestione della Privacy nelle pagine Facebook, gestite per uso commerciale e di marketing. Ecco un breve focus sugli aspetti chiave di questo argomento, ed un modulo pronto per adeguare l’informativa delle pagine Facebook.
Un aiuto per capire questo tema e quali sono gli aspetti importanti relativi all’adeguamento necessario nella gestione delle fanpage, arriva dalla sentenza della Corte di Giustizia UE con il caso Wirtschaftsakademie.Non vi annoierò con i dettagli della questioni e dei passaggi giuridici di merito, ma passerò subito ad analizzare le questioni chiave.
Ogni pagina Facebook, installa sul pc degli utenti che interagiscono con essa dei Cookyes usati per raccogliere informazioni personali utilizzate ed elaborate per diverse finalità.
Fra queste finalità una in particolare è di uso esclusivo degli amministratori delle fanpage, il “Facebook Insights”. Con questa funzione si raccolgono in forma anonima ed aggregata i dati degli utenti che interagiscono con la pagina.
Secondo la Corte di Giustizia UE sono due le figure che usufruiscono di questi dati, una sicuramente Facebook Inc. in quanto “titolare e responsabile del trattamento” ma allo stesso modo l’amministratore della pagina può determinare con il suo intervento il target di pubblico, determinando quindi le finalità del tipo di trattamento. Pertanto anche l’amministratore della pagina ed il Titolare della pagina dovranno rispettare le norme di tutela del diritto degli interessati, nel raggiungimento delle loro finalità.
Un altro aspetto non preso in considerazione ma che sicuramente necessita di un ulteriore spunto di riflessione è dato dalle interazioni degli utenti con la fanpage. Tramite la pagina, e possibile inviare messaggi o scrivere commenti che possono permettere la raccolta involontaria di dati personali soggetti a tutela della privacy, specie si tratta di pagine dedicate ad attività di promozione commerciale di servizi e prodotti o di marketing di qualsiasi genere.
Alla luce del Regolamento UE 2016/679 si profilano pertanto nella gestione della pagina Facebook alcune responsabilità per l’admin della stessa, e il suo Titolare. Il primo determina le finalità del Titolare e pertanto è da inquadrarsi come Incaricato del trattamento dei dati, o di Responsabile esterno nel caso di Agenzie di Comunicazione esterne al Titolare. Mentre il Titolare della pagina sarà chiaramente il Titolare del trattamento dei dati.
Questi due aspetti, quello relativo alla consultazione di dati in forma aggregata per il raggiungimento di finalità specifiche e quello della raccolta di eventuali altri dati forniti liberamente dagli interessati che interagiscono con la pagina, impongo l’uso di una informativa sul trattamento dei dati secondo l’art. 13 del Regolamento UE 2016/679.
E’ quindi d’obbligo l’uso di una informativa specifica per l’uso dei dati in forma aggregata, acquisiti tramite la fanpage, permettendo a tutti gli interessati di apprendere le informazioni complete relativa al trattamento dei dati effettuata dal Titolare qual’ora un interessato voglia inviare sui dati personali tramite la stessa.
Il Regolamento EU 2016/679 oggi non rappresenta solo la necessità di adeguarsi ai cambiamenti imposti dall’evoluzione tecnologica che hanno generato oggi un livello di raccolta e di elaborazione dati senza precedenti, ma una opportunità per le imprese. Da una indagine pubblicata da PwC – Global Economic Crime and Fraud Survey 2018 Summary Italia, emerge che più della meta delle imprese italiane intervistate, ha subito negli ultimi 24 mesi, frodi informatiche con danni superiori a 50 mila USD, e il 24% ,addirittura superiori al milione di dollari. Il 54% delle frodi subite, sono da attribuirsi ad attacchi esterni derivanti principalmente da Malware e frodi di Phishing.
Se si tiene in conto che il più delle volte la valutazione dei rischi e l’implementazione di misure tecniche ed organizzative, per la protezione e la sicurezza informatica dei dati di una imprese costa molto meno di quello che potrebbe costare un attacco stesso, tanto vale prendere di buon grado il nuovo Regolamento EU 2016/679 e fare un minimo di sicurezza per il proprio patrimonio informatico. Con il nuovo Regolamento Europeo, viene introdotto un nuovo approccio alla valutazione ed ai criteri per la scelta delle misure da implementare per la protezione dei dati. Viene introdotto il concetto di privacy by default e by design e la condizioni necessaria di liceità del trattamento. Molteplici le novità anche nei confronti degli interessati al trattamento, maggiormente tutelati grazie alla necessità di predisporre una informativa estesa che integra anche ulteriori diritti quali: accesso, cancellazione-oblio, limitazione del trattamento, opposizione e portabilità dei dati. Ulteriori cambiamenti invece, concentrano l’attenzione sull’organigramma delle figure chiave che a vario titolo sono chiamate ad interagire con un approccio basato sul rischio del trattamento e sul principio di accountability del trattamento effettuato. Alla figura del Titolare del trattamento e del Responsabile, viene affiancata quella del RDP-DPO. Viene introdotto inoltre il concetto di valutazione d’impatto e la redazione di un Registro del Trattamenti oltre alla definizione di trasferimento e portabilità dei dati all’interno della Comunità Europea ed all’esterno e all’adozione dei Codici di Condotta.
Cosa cambia Molta attenzione va posta proprio sugli aspetti valutativi per determinare in maniera corretta a quali adempimenti attenersi e quali introdurre.
Come adeguarsi (misure minime e misure tecniche per adeguarsi) L’adeguamento al GDPR rappresenta un passaggio fondamentale per professionisti ed imprese, tale adeguamento, dovrà essere adeguato anche in relazione alla tipologia di dati trattati. L’approccio migliore in questo senso è dato da una buona valutazione ed analisi sui tipi di dati trattati e della loro apetibilità, e dall’impiego di alcune misure tecniche ormai di uso frequente, come il cloud, per le procedure di backup, o l’uso della crittografia dei dischi degli elaboratori e dei device mobili (ntbk e hard disk usb), oltre che all’uso di software antivirus e di protezioni firewall. Molta attenzione va rivolta anche alle misure organizzative interne che riguardano l’uso stesso dei dati e la gestione e manutenzione continua dei dispositivi con i quali vengono trattati e gestiti. Ma la vera chiave del successo per la sicurezza di una impresa resta il monitoraggio continuo dei sistemi e dei dispositivi, ed una attenta politica di auditing, che consentono l’intercettazione delle anomalie ed una buona prevenzione, oltre che ad arginare i rischi.
