Tag Archives: GDPR

Formazione on line gratuita – Privacy settore turistico

13 Feb , 2024,
esseti
, , ,

FORMAZIONE GRATUITA PRIVACY IN AMBITO TURISTICO

Privacy: check-in e check-out quali adempimenti, quali rischi

Fonti: ESSETI

I dati personali gestiti in ambito turistico passano ormai inevitabilmente attraverso molti strumenti elettronici.

L’utilizzo delle piattaforme di prenotazione comporta ad esempio una serie di rischi che è importante conoscere, per evitare problemi anche sul fronte delle sanzioni.

Partecipa al corso per avere tutte le risposte necessarie.

Quali sono gli adempimenti privacy per un albergatore?

Le piattaforme di prenotazione utilizzate sono sicure?

Di chi è la responsabilità dei dati inseriti sulle piattaforme di prenotazione?

Posso inviare mail ai miei clienti?

Quanto tempo posso conservare i dati dei miei clienti?

 

Il corso è tenuto dai nostri Consulenti Professionisti

aderenti a Federprivacy

 

La partecipazione al corso ti consentirà di ricevere l’attestato di partecipazione valido per l’assolvimento dell’obbligo formativo

Invia la tua richiesta di partecipazione per ricevere il link al collegamento on line

ISCRIVITI

Approfondisci anche su

Esseti | Digital Transformation per le PMI | Consulenza e Servizi IT offre soluzioni in modalità SaaS per l’implementazione di Piattaforme di Whistleblowing per la PA e le Imprese.

Chiedi informazioni attraverso i nostri canali

per applicare nei tempi previsti la tua piattaforma

Certificazione AGID per MY GDPR e Whistelblowing

24 Gen , 2024,
esseti
, , ,

Certificazione AGID per i nostri Servizi

Piattaforme My GDPR e Whistleblowing certificate AGID con la qualificazione servizi SaaS

Fonti: ANAC AGID 

Aziende e Pubbliche Amministrazioni possono contare ora su un’opportunità in più per utilizzare i nostri servizi in Cloud che offrono vantaggi in termini di affidabilità e sicurezza, rendendo più convenienti ed efficienti gli investimenti in trasformazione digitale.

L’utilizzo delle nostre piattaforme consente di ottimizzare i costi e i tempi legati alla gestione dei processi organizzativi e di gestione e trattamento dei dati, che sempre più si moltiplicano attraverso l’impiego stesso della digitalizzazione, oltre a permettere di recepire la norme relativa alla protezione delle persone che segnalano violazioni del diritto dell’Unione (cd  disciplina whistleblowing)

Consulta l'elenco su Cloud Market Place

Catalogo delle infrastrutture e dei servizi cloud qualificati.

La piattaforma MY GDPR

Il Portale GDPR nasce come soluzione  software per la gestione degli adempimenti normativi previsti dal Regolamento UE 2016/679 (GDPR). Grazie all’esperienza acquisita a diretto contatto con alcune PA, la Piattaforma MY GDPR  permette di gestire in maniera  automatizzata le operazioni per la gestione del Registro dei Trattamenti e degli altri adempimenti richiesti dalla normativa vigente.

Questa soluzione consente all’Ente o alle Aziende di qualsiasi tipologia,  di rispettare tutti gli obblighi del GDPR e di dimostrare facilmente l’”accountability” al Regolamento.

Il Portale può essere gestito a livello centralizzato con riferimento a più Enti o in maniera autonoma con l’accesso a specifici utenti che occupano ruoli di responsabilità all’interno dell’organizzazione.

Il Portale, accessibile da qualsiasi dispositivo dotato di browser web, non fornisce solo strumenti informatizzati di raccolta dei dati di un’organizzazione e di compilazione dei Registri previsti dalla normativa, ma anche strumenti per la conduzione di una Valutazione d’Impatto (DPIA), della Valutazione dei Rischi e la possibilità di consultazione di una sezione di F.A.Q. (Frequently Asked Questions) in costante aggiornamento con riferimento al settore del trattamento e della protezione dei dati.

Il servizio viene fornito in modalità SaaS con piani di abbonamento, manutenzione e eventuale personalizzazione su specifiche richieste degli Enti e delle Aziende interessate

Scopri i Piani

La piattaforma whistleblowing

E’ un servizio che, in adesione alla norma, permette un elevato livello di protezione delle persone che segnalano violazioni e illeciti, attraverso la messa a disposizione di un canale di comunicazione sicuro all’interno dell’azienda o ente, per incentivare l’emersione di condotte pregiudizievoli.

Si tratta quindi di segnalazioni che mettono in condizioni le aziende e gli enti pubblici di poter prevenire o correggere tempestivamente atti e pratiche dannose e sicuramente lesive del proprio contesto e della propria reputazione.

Chi deve applicare il sistema e la procedura che permette al cittadino di effettuare queste segnalazioni sono quindi:

  • Pubbliche amministrazioni
  • Aziende con più di 50 dipendenti
  • Aziende  e Enti che adottano il modello  organizzativo 231

La Piattaforma certificata AGID, è utilizzabile in modalità SaaS , permette la gestione delle segnalazioni interne all’Azienda o all’Ente garantendo la riservatezza dell’identità del whistleblower tramite crittografia dei dati

Approfondisci all’articolo dedicato

Approfondisci anche su

Esseti | Digital Transformation per le PMI | Consulenza e Servizi IT offre soluzioni in modalità SaaS per l’implementazione di Piattaforme di Whistleblowing per la PA e le Imprese.

Chiedi informazioni attraverso i nostri canali

per applicare nei tempi previsti la tua piattaforma

Whistelblowing ultima chiamata

10 Ott , 2023,
esseti
, , ,

Entro il prossimo 17 Dicembre le Aziende con almeno 50 dipendenti dovranno implementare i sistemi di comunicazione conformi agli standard della normativa

Whistleblowing ultima chiamata

2

Di cosa si tratta?

Il 10 marzo 2023 è stato approvato il decreto n. 24 che recepisce la direttiva Whistelblowing

La nuova disciplina è quindi già  in vigore a partire dal 30 marzo 2023 per tutti gli enti pubblici e per le società pubbliche o private con un modello organizzativo 231

In realtà anche se non hai adottato il modello organizzativo 231, dovrai applicare le prescrizioni normative entro le prossime scadenze.

–         dal 15 luglio SE LA TUA AZIENDA RAGGIUNGE il numero di 250 dipendenti

–         dal 17 dicembre SE LA TUA AZIENDA RAGGIUNGE Il numero di  50 dipendenti

La Direttiva europea sul Whistleblowing ha lo scopo di definire un quadro di tutela dei cittadini europei, in relazione alla possibilità di segnalare violazioni e illeciti in contesti sia lavorativi che di gestione di servizi pubblici.

 

Quali sono i soggetti interessati?

I primi interessati sono quindi tutti i cittadini che, venendo a conoscenza di pratiche illecite, sia nel proprio contesto di lavoro sia in contesti diversi, può segnalare in forma anonima queste situazioni ai diretti interessati.

Si tratta quindi di segnalazioni che mettono in condizioni le aziende e gli enti pubblici di poter prevenire o correggere tempestivamente atti e pratiche dannose e sicuramente lesive del proprio contesto e della propria reputazione.

Chi deve applicare il sistema e la procedura che permette al cittadino di effettuare queste segnalazioni sono quindi:

  • Pubbliche amministrazioni
  • Aziende con più di 50 dipendenti
  • Chi ha adottato il modello organizzativo 231
3

Cosa significa Whistelblowing?

La traduzione del termine è Segnalante.

E’ la persona che spontaneamente rivela un illecito o di un’irregolarità commessa all’interno di un contesto lavorativo, sia pubblico che privato.

Il segnalante spesso è un dipendente ma può anche essere una terza parte, per esempio un fornitore o un cliente.

  • Si parla di whistelblowing “interno” quando la segnalazione viene fatta da un dipendente dell’azienda attraverso canali di segnalazione interni all’azienda.
  • Si parla di whistelblowing “esterno” quando la denuncia viene fatta pubblicamente, ad esempio all’autorità giudiziaria o alla stampa.

Sicuramente gestire la whistelblowing “interna” è decisamente l’opzione migliore.

Ecco perchè è fondamentale per le aziende mettersi nella condizione di poter adempiere alla prescrizione normativa non tanto perchè esiste anche un risvolto di penalizzazione int ermini di sanzione, ma anche perchè consente di adottare uno strumento di monitoraggio molto importante che potrebbe mitigare efficacemente rischi ben più gravi.

Come si fa una segnalazione whistleblowing?

Attraverso una piattaforma specifica utilizzabile anche in modalità SaaS, che grazie ad un software conforme alla normativa e approvato dall’Autorità Nazionale Anticorruzione, consente di ricevere le segnalazioni con il requisito fondamentale di conservare l’anonimato dei Segnalanti.

E’ un sistema di comunicazione digitale a cui tutti possono accedere e che permette di inviare segnalazioni di illeciti con la garanzia di mantenere l’anonimato per volontà di chi effettua la segnalazione. Può essere messa a disposizione sia a dipendenti che ad altri soggetti esterni.
Piattaforma Whistelblowing
Che cos'è?

Perchè è necessario dotarsi di un software o piattaforma di whistelblower?

1.    Per non rischiare di andare incontro a pesanti sanzioni soprattutto in concomitanza dello scoppio di un eventuale caso di corruzione interno.

2.    Per educare i propri dipendenti e gli stakeholder esterni (come fornitori, clienti, ecc.) alla cultura della segnalazione, rafforzarne la fiducia e prevenire rischi imprenditoriali e reputazionali.

3.    Per adottare misure idonee a identificare e risolvere sul nascere problematiche o illeciti che potrebbero portare a gravi conseguenze se non risolti in maniera tempestiva.

4.    Per evitare che prima che all’azienda interessata, le segnalazioni arrivino in altra forma ad organismi esterni collegati, compromettano di conseguenza la reputazione dell’azienda

Quanto costa implementare una Piattaforma di whistleblowing?

Le piattaforme disponibili sul mercato sono diverse ma tutte devono avere standard specifici in linea con la normativa. In generale si tratta di costi contenuti, anche se in fase di implementazione vanno considerati i costi di start up del sistema.

In genere si può parlare di meno di € 3,00  al gg. per i servizi in modalità SaaS.

Canone annuali a partire da meno di mille euro e un investimento inziale di start Up e configurazione di importo simile.

Nessuna installazione Hardware per il servizio in modalità SaaS.

Un sistema di whistleblowing comporta solamente dei costi per le aziende?

Uno studio condotto da EQS Group e dall’Università di Coira ha dimostrato che un’azienda ogni anno subisce una perdita pari al 7% del proprio fatturato a causa di crimini finanziari come frodi, appropriazione indebita o corruzione.

Su 1 milione di euro di fatturato abbiamo la probabilità di rilevare una perdita di 70.000 euro.

Individuando in maniera tempestiva anche solamente il 10% di possibili reati tramite segnalazioni interne, è possibile risparmiare 7.000 euro all’anno.

Con € 5 al giorno, un azienda che fattura 1 milione di euro, può evitare una perdita € 7000,00

Quali risorse dovranno essere impiegate per gestire il sistema di segnalazione?

Per gestire una sistema di whistelblowing sarà necessario individuare una persona che possa assumere il ruolo di Istruttore per verificare, dalla dashboard della piattaforma,  le segnalazioni pervenute e avviare le successive procedure di verifica.

La piattaforma può gestire il processo di segnalazione attraverso le funzioni predisposte per altri soggetti con ruoli esterni, che non impegnano l’organizzazione aziendale, come il Detentore delle Chiavi, l’amministratore della piattaforma.

Ma dal momento che metto a disposizione questo sistema, rischio di molte segnalazioni?

Ti auguriamo ovviamente di ricevere solo quelle importanti

Studi specifici stimano la ricezione di segnalazioni in media con un valore che si aggira attorno all’ 0,008 % sul numero di addetti, all’anno

Prendendo l’esempio di un’azienda che impiega 1000 addetti, il numero complessivo di segnalazioni in un anno si aggirerà verosimilmente intorno ad 8.

equilibrio

Il Valore delle Segnalazioni

Ricordate un principio importante.

Se non state ricevendo segnalazioni non significa che non ci siano criticità, ma probabilmente perché la cultura aziendale non è ancora matura a sufficienza per riportarle.

E’ fondamentale quindi che le imrpese si concentrino anche sull’importanza della Formazione, sulla diffusione della conoscenza dei principi che spingono ad attivare questi processi. In altre parole a sensibilizzazione le persone, favorendo la fiducia verso l’utilizzo di opportuni strumenti di segnalazione, tutelati e regolamentati. Solo creando questo rpesupposto è possibile aumentare  la propensione dei propri stakeholder ad nviare informazioni che consentiranno di identificare e risolvere i problemi emergenti.

Segui la nostra Pagina
Linkedin

Approfondisci

Esseti | Digital Transformation per le PMI | Consulenza e Servizi IT offre soluzioni in modalità SaaS per l’implementazione di Piattaforme di Wisthelbolwing per la PA e le Imprese.

Chiedi informazioni attraverso i nostri canali

per applicare nei tempi previsti la tua piattaforma

MyGDPR: il portale per la gestione Smart della privacy aziendale

16 Feb , 2021,
esseti
, , ,

Con il portale MyGDPR di Esseti, da oggi puoi gestire comodamente gli adempimenti Privacy con un click.

 

Il Portale Smart per la gestione della Privacy

Cosa puoi fare con il Portale MyGDPR?

Definire il tuo Archivio documentale sempre aggiornato, con la possibilità di creare e personalizzare la documentazione richiesta dalla normativa.

Generare il registro dei trattamenti in base alla tua mappatura dei dati ed estrarre informative aggiornate

Realizzare direttamente la Valutazione dei Rischi e analizzare il livello di sicurezza adeguato alla tua struttura

Utilizzare di modelli di DPIA precaricati, personalizzabili per gestire il procedimento di validazione dei tuoi dati aziendali.

Gli adempimenti per la gestione della Privacy aziendale richiedono spesso un controllo e un aggiornamento costante, soprattutto in contesti dove la natura dei dati trattati per lo svolgimento delle normali attività aziendali, ha un impatto significativo.

Oltre quindi ad una corretta gestione delle policy aziendali, definte in coerenza con la complessità e le caratteristiche dei vari contesti, è importante predisporsi di strumenti che massimizzano l’efficacia dei processi di gestione e soprattutto ne facilitino il controllo.

Con l’accesso al Portale GDPR MyGDPR potrai gestire la tua policy privacy aziendale in tutta sicurezza, organizzando in maniera semplice e veloce tutti i processi di gestione e controllo della documentazione e l’analisi di rischio.

Inoltre, puoi integrare i servizi del portale con piani personalizzati che includono servizi aggiuntivi in tema di privacy.

La Privacy: il nuovo mood per le strategie di digital marketing

24 Gen , 2021,
esseti
, , , , , ,

Quanto conviene concentrare le strategie di posizionamento e indicizzazione verso motori di ricerca alternativi a Google?

Fuga da WhatsApp, critiche alle violazioni privacy del mondo Google, tecnologia pervasiva, profilazioni e Social.

Non lo avremmo mai pensato quando nel 2018 il GDPR imponeva ufficialmente di dare maggiore attenzione alla questione della privacy, per ovvi motivi sanzionatori, ma forse oggi sta diventando una nuova opportunità di mercato.

Sembra che il mercato stia allestendo un nuovo scenario o semplicemente stiamo assistendo al cambiando delle regole del gioco.

Se fino ad ora l’attenzione degli strumenti di indicizzazione e posizionamento verso le alternative Google &Co.  poteva essere una strategia efficace per esigenze di nicchia, ora il vento sta cambiando e potrebbe diventare invece una strategia vincente per tutti, per posizionarsi in un mercato, per così dire, privacy care.

Ridurre la concorrenza sfruttando la sensibilità verso la protezione dei dati può diventare una combinazione davvero eccezionale per rivedere le strategie di  comunicazione e marketing.

Fin’ora si è discusso molto del conflitto tra privacy e marketing. Ma forse ora la svolta vincente è utilizzare la privacy per fare marketing

La nuova “filosofia digitale”

Almeno in Europa, il GDPR sta quindi diventando il parametro di riferimento per molti motori di ricerca privacy friendly, alternativi a Google. Assisteremo dunque ad una migrazione sempre più ampia di utenti verso queste alternative così da ridimensionare il predominio di Google?

Sicuramente non assisteremo, almeno nel breve periodo, allo stravolgimento degli equilibri di mercato, visto che comunque molti di questi motori alternativi attingono ai risultati dei “grandi”, Certamente però cambierà qualcosa nei meccanismi di acquisizione, gestione e soprattutto “vendita” dei dati che comunque continueranno ad essere presenti nel web.

La questione della privacy on line è ovviamente una questione che impegnerà i grandi del web a rivedere le proprie politiche a fronte di un costante braccio di ferro con gli enti di controllo, ma anche e soprattutto per (ri)stabilire una fiducia ormai minata nei confronti degli utenti,

IT-webseite-anmelden-UND-google-alternativen

Smart working: privacy e sicurezza nel contesto dell’epidemia di COVID-19

24 Apr , 2020,
esseti
, , , , , , ,

L’emergenza del COVID-19 ha accelerato l’adozione, su tutto il territorio nazionale, delle misure di lavoro agile, il cosiddetto “smart working” (introdotto per la prima volta dalla Legge n. 81 del 2017), al fine di evitare gli spostamenti e contenere i contagi.

blogger-336371_1920

A causa del modo improvvisato con cui il sistema produttivo italiano si è avvicinato a questa modalità di lavoro, le aziende e le persone potrebbero non essere pronte ad avvalersene correttamente. Il “lavoro agile”, infatti, richiede un sapiente utilizzo dell’innovazione digitale, una gestione integrata ed un’evoluzione dei modelli organizzativi aziendali di cui la privacy è parte integrante, per via del ruolo di primo piano rivestito dalla tecnologia.

Le modalità flessibili di lavoro smart, in generale, consentono di migliorare la produttività delle imprese e di usufruire di diversi incentivi fiscali, oltre a permettere ai lavoratori una migliore conciliazione tra lavoro e famiglia, producendo pertanto maggiori opportunità per le imprese e per loro stessi. Dall’altro lato, però, l’improvviso utilizzo dello smart working espone a maggiori rischi informatici i dispositivi aziendali, ma anche quelli personali, spesso usati in questa circostanza per necessità lavorative.

A partire dall’inizio del contagio del Coronavirus sono in constante crescita attacchi informatici come ad esempio l’invio di e-mail sospette, tutte riferite all’attuale situazione d’emergenza, in cui vengono richieste credenziali e dati personali (phishing) o che contengono allegati o link dannosi. Questo dato evidenzia quanto i criminali informatici, sfruttando le notizie globali e la situazione d’emergenza sanitaria, si approfittano delle persone che cercano informazioni sul contagio e che sono per questo più propense a cliccare su link potenzialmente dannosi o a scaricare allegati che si rivelano indesiderati.

In questa condizione, il datore di lavoro è tenuto a prestare adeguata attenzione a diversi aspetti inerenti l’uso delle nuove tecnologie. Deve continuare a mantenere, seppur a distanza, contatti con i propri dipendenti portando avanti il lavoro quotidiano, nel rispetto dei limiti fissati dallo Statuto dei Lavoratori. L’articolo 4 ha una particolare rilevanza quando si parla di lavoro agile, perché fissa un principio cardine: sono vietati l’installazione e l’uso di strumenti tecnologici e sistemi in grado di controllare a distanza lo svolgimento dell’attività lavorativa del dipendente, a meno che il ricorso a questi non sia stato prima siglato con un accordo sindacale o sia autorizzato dall’Ispettorato Territoriale del Lavoro.

Lo Statuto, nato nel 1970, è stato interpretato in maniera evolutiva dalla giurisprudenza e dagli orientamenti del Garante della Privacy e ha finito per comprendere anche un controllo sugli strumenti digitali dei lavoratori: dai sistemi di rilevazione della posizione fino ai software che monitorano in maniera costante l’uso che viene fatto di internet. La riforma del 2015 (Jobs Act) ha poi aggiunto che, anche se lo strumento di controllo a distanza è lecitamente installato, il datore di lavoro deve preventivamente informare il lavoratore agile sulla possibilità di eseguire controlli sulla sua prestazione.

Non c’è, comunque, un divieto “assoluto” di controllo sul lavoratore da parte del datore; se quest’ultimo ha il fondato sospetto che il dipendente stia commettendo degli illeciti, può svolgere controlli mirati, anche a distanza, a patto che siano proporzionati e non invasivi, e che riguardino beni aziendali (il PC fornito dal datore, la casella di posta aziendale, etc.) rispetto ai quali il dipendente non ha alcuna “aspettativa di segretezza”, dal momento che gli strumenti aziendali non possono essere usati per motivi personali.

Tuttavia, il datore di lavoro deve anche occuparsi della sicurezza dei dati e delle reti aziendali, a tutela dei propri dipendenti, clienti e fornitori (rispettando adeguati standard di sicurezza di data protection e cyber security). I dipendenti e i collaboratori, dovrebbero avere precise istruzioni, impartite dal titolare, per la salvaguardia dei dati personali che sono autorizzati a trattare nello svolgimento della propria mansione lavorativa. Non tutte le aziende, però, hanno direttive e procedure di sicurezza precise per lo smart working, soprattutto quando questo non è stato mai previsto prima d’ora.

L’errore più frequente nell’usufruire delle modalità di lavoro agile, utilizzando dispositivi personali e non forniti dall’azienda, è quello di trascurare le misure di sicurezza, non adottando sistemi antivirus e sottovalutando i rischi connessi alla navigazione in rete (accesso a siti pericolosi, download, etc.): uno scenario potenzialmente pericoloso se si accede, in questo modo, ai sistemi e ai server aziendali da remoto.

Anche in questo periodo di emergenza sanitaria, le misure di sicurezza adeguate che il titolare del trattamento dovrebbe attuare per garantire la tutela dei dati personali, dovranno rispettare il Regolamento UE 2016/679 (GDPR). Perciò il datore di lavoro dovrà attuare tutte le procedure per l’attività lavorativa dello smart working, seppur non precedentemente previste, in modo da limitare il rischio per i diritti e le libertà fondamentali degli interessati.

Una risposta concreta a tali problemi, seppur non obbligatoria, è rappresentata dalla compilazione e dall’aggiornamento della Valutazione d’Impatto (la “DPIA” — art. 35 GDPR), ovvero un’analisi delle necessità, della proporzionalità, nonché dei relativi rischi, allo scopo di approntare misure idonee ad affrontarli.

In questa forma di lavoro agile non si può non far riferimento alla cyber security, poiché innumerevoli informazioni vengono scambiate e condivise online. I dati particolari, le proprietà intellettuali e i documenti riservati potrebbero subire furti, perdite accidentali, accessi abusivi, diffusioni dolose o colpose ed essere quindi oggetto di “data breach”.

Oltre ad affidarsi a VPN (Virtual Private Network) sicure e a provider affidabili, anche in questo caso, la formazione dello smart worker costituirebbe un’efficace misura di sicurezza, poiché come prescritto dall’art. 32 del GDPR:

“Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Occorrerà considerare questa diffusione epidemica come un evento che ha interrotto l’abituale continuità lavorativa e, conseguentemente, ha minacciato i sistemi informativi. È auspicabile trarne un insegnamento per implementare sistemi efficaci al fine di rendere maggiormente operativa l’azienda già a partire dalla “Fase 2”, attivando una corretta progettazione e una maggiore cultura della sicurezza fra i dipendenti.

GAP TECNOLOGICO? PER IL CYBERCRIME E’ SEMPRE UN VANTAGGIO. LA PAROLA D’ORDINE E’ SAPERSI DIFENDERE.

8 Nov , 2019,
esseti
, , , , , , , , , , , , , ,

Le criticità legate alla maggiore o minore diffusione delle nuove tecnologie, il ruolo della digitalizzazione e della sempre più capillare invasione delle connessioni nelle nostre vite, non è un fattore da demonizzare, se si è consapevoli di quello che significa.

Cyberdefence e digitalizzazione

Questo è un primo e significativo aspetto di cui dobbiamo sempre tenere conto, nell’affrontare con il giusto approccio il tema dell’innovazione e della digitalizzazione, ormai elemento cardine della nostra società e della nostra economia.

E’ quanto è emerso anche in occasione del dibattito, promosso dalla Camera di Commercio di Arezzo e Siena attraverso l’azienda speciale Arezzo Sviluppo, svolto giovedì 7 novembre 2019 presso la sede della Banca d’Italia Sede di Arezzo e in collaborazione con Confindustria Toscana Sud, Punto Impresa Digitale e Clusit.

Nel dibattito si sono confrontati esperti e protagonisti del mondo imprenditoriale, del sistema associativo e delle istituzioni, impegnate su vari fronti a gestire il tema della sicurezza informatica o Cyber Defence.

Da una prima panoramica della situazione del sistema economico-produttivo  locale  sul fronte della digitalizzazione – spiega Giuseppe Salvini, Segretario Generale Camera di Commercio di Arezzo e Siena emerge ancora un freno significativo da parte delle piccole e micro imprese ad investire in una vera trasformazione digitale dei processi produttivi e organizzativi.

Questo elemento ha riflessi negativi sulla produttività delle nostre imprese ma anche sulla capacità di coinvolgere risorse umane con competenze in grado di gestire questo necessario cambiamento.

Tuttavia la mancanza di un coinvolgimento completo nel sistema della digitalizzazione costituisce esso stesso un fattore di rischio.

Nell’analisi complessiva degli interventi è stato infatti evidenziato – Sabina Di Giuliomaria, Responsabile Divisione CERTBI e  Garibaldi Conte, Comitato Scientifico Clusit – che se da un lato è opportuno, necessario e irrinunciabile, comprendere quanto sia ormai rilevante la tecnologia nella nostra realtà e soprattutto nel nostro futuro, dall’altro dobbiamo acquisire sempre più  consapevolezza (awareness) per regolare e proteggere questo nuovo mondo.

L’impatto sullo sviluppo industriale, sulla produzione, sulla mobilità, sulla salute e quindi su tutta la nostra vita quotidiana di crimini informatici, di sabotaggi, di malware introdotti nei sistemi informativi e di tante altre minacce illustrate nel dettaglio dal rapporto CLUSIT 2019, sarà tanto maggiore quanto minore è l’attenzione del sistema economico e sociale al tema della protezione.

Fabrizio Bernini, Presidente Confindustria Toscana Sud Delegazione di Arezzo e Presidente Zucchetti Centro Sistemi Spamette ben in evidenza la necessità da parte del sistema produttivo di essere coinvolta pienamente nel processo di digitalizzazione, ma sottolinea anche che l’atteggiamento verso l’innovazione deve essere configurato all’interno di un quadro di protezione efficace del sistema stesso. Se pensiamo soprattutto al ruolo dell’Intelligenza Artificiale possiamo misurare bene quanto sia rischioso incorrere in  una ”interferenza indesiderata”  ad es. su un auto a guida autonoma o su un dispositivo medico salvavita.

Conquistare il mercato con un prodotto o servizio innovativo non basta. Serve soprattutto sapersi difendere dal suo utilizzo improprio

Sul fronte normativo le Istituzioni più importanti a livello nazionale ed europeo, cercano di stabilire delle regole di salvaguardia che partano dalla tutela delle persone e in particolare dalla tutela dei dati personali.

Questo primo sistema di protezione cerca quindi di responsabilizzare il sistema economico verso la gestione dei dati delle persone, ma le persone sono parte dello stesso sistema economico.   Stefano Susini, Amministratore di Esseti Servizi Telematici evidenzia infatti  come i rischi di Data Breach alle quali le imprese sono sempre più esposte, non solo costituisce un danno economico sotto il profilo del blocco produttivo, della perdita di informazioni necessarie per la gestione aziendale  o della perdita dei clienti, ma anche una reale perdita monetaria dovuta alle sanzioni significative da versare in caso di riscontrata responsabilità nel non aver definito un adeguato sistema di protezione.

Favorire la crescita del sistema economico  e il miglioramento delle condizioni di vita della nostra società attraverso l’utilizzo delle tecnologie digitali e delle loro applicazioni è senza dubbio un aspetto positivo al quale è impossibile sottrarsi.

Ma proprio per questo è necessario mettere in campo tutto quanto necessario, con consapevolezza e con  massima efficacia, per regolare e difendere questo contesto.

IL CONCETTO DI CYBERSECURITY NEL CONTESTO DEL GDPR ED I RISCHI CONNESSI AL DATA BREACH

6 Nov , 2019,
esseti
, , , ,

Come ormai, purtroppo, siamo stati costretti ad imparare dalla cronaca quotidiana e, qualche volta, a nostre spese, insieme alla rapida crescita della diffusione della tecnologia, la società digitale ha visto evolversi in maniera repentina una serie di attività dannose e criminose con tecniche sempre più raffinate, tanto da meritarsi un appellativo coniato su misura come Cybercrime.

La minaccia cyber appare in continua crescita e, dopo aver assistito alla nascita di attività criminali completamente nuove, quali le frodi finanziarie online ed i sequestri di dati, ci troviamo in presenza di un mercato virtuale che offre prodotti e servizi altamente specializzati per perpetrare veri e propri attacchi mirati. Siamo di fronte a quello che, nell’era del Cloud, viene definito come Crime-as-a-Service. Non mancano reti di servizi diversificati e personalizzati per attività criminali ed è piuttosto semplice accedere all’acquisto di pacchetti Malware, con relativi tutorial e apposite sessioni di consulenza.

Lo scenario che si profila per le aziende è dunque uno scenario di minaccia continua e spesso ci troviamo immersi in una vera e propria guerra che si combatte sulle autostrade telematiche, nella quale ci sentiamo impotenti e disarmati. Tutti noi siamo chiamati a misurare il cosiddetto Cyber Risk e adottare una serie di misure di sicurezza che portano indubbiamente ad aumentare il costo della nostra presenza sulla rete.

Restringendo lo sguardo a livello nazionale si può affermare, senza tema di smentita, che il panorama della sicurezza informatica in Italia è caratterizzato da un basso livello di preparazione, dalla mancanza di tempestività, e da lacune tecnologiche e di budget: sono questi i gap da colmare più evidenti delle aziende italiane in ambito Cybersecurity. Occorre quindi sviluppare nuove capacità e nuovi strumenti per migliorare la sicurezza del sistema Paese e questo rappresenta una sfida nazionale della massima importanza da cui passerà nei prossimi anni la crescita economica oltre che il benessere e la sicurezza dei cittadini. Sono molti gli studiosi che affermano con certezza che la correlazione tra prosperità economica di una nazione e la qualità delle sue infrastrutture cyber sarà sempre più stretta nei prossimi anni.

Appare dunque evidente che in questo scenario sarà sempre più presente e sentito il problema rappresentato dai cosiddetti “data breach”, letteralmente “violazioni di dati”. Sotto questo termine vengono raggruppati tutti quei “casi in cui – a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità – si dovesse verificare la perdita, la distruzione o la diffusione indebita di dati personali conservati, trasmessi o comunque trattati”, secondo la definizione che viene data dal garante della Privacy.

Possiamo facilmente estendere il concetto di data breach dai dati personali a tutti quei dati aziendali che spesso rappresentano un grande valore e che vorremmo difendere dagli attacchi e da tutti i rischi che incombono su di loro. È importante sottolineare che oltre al danno spesso ingente causato dalla sottrazione di dati o dall’accesso fraudolento a informazioni dalle banche dati di industrie, enti pubblici ed organizzazioni di ogni genere, si può aggiungere la beffa delle sanzioni previste dal Regolamento Generale sulla Protezione dei Dati (GDPR).

La principale novità introdotta dal regolamento europeo GDPR è il principio di “responsabilizzazione” (cd. accountability), che attribuisce direttamente ai titolari del trattamento il compito di assicurare, ed essere in grado di comprovare, il rispetto dei principi applicabili al trattamento dei dati personali (art. 5).

Diventa quindi essenziale rivedere, o addirittura ripensare i propri processi di trattamento dati e procedere ad una adeguata valutazione dei rischi connessi a tali trattamenti.

Fino a pochi anni fa abbiamo pensato al mondo digitale come un mondo in cui si trovano milioni di persone con dati che rappresentano i nostri comportamenti e che possono essere usati per supportarci nel nostro lavoro e nella nostra vita quotidiana ma possono anche essere usati contro di noi. Abbiamo acquisito consapevolezza, abbiamo imparato a difenderci e ci sentiamo tutelati da leggi quali il GDPR che proteggono i nostri diritti.

Oggi però lo scenario è cambiato e all’Internet of People si affiancano le nuove tecnologie, con droni, robot, dispositivi IOT, industria 4.0, blockchain e Intelligenza Artificiale, oramai utilizzate intensivamente in molte aziende, che impongono una maggior attenzione al tema della Cybersecurity che non poteva, ed adesso a maggior ragione, non può essere ignorato in un mondo sempre più interconnesso.

Per far fronte al crescente numero di attacchi cibernetici diretti contro le varie organizzazioni occorre un cambio di paradigma, che sposti il baricentro dal risk management alla prevenzione della minaccia, dalla risposta all’incidente alla protezione dei sistemi.

Per aiutare le aziende si pone come supporto alla conformità in ambito sicurezza informatica, il Cybersecurity Act, entrato in vigore dal 27 giugno 2019. Esso è un regolamento facente parte del Cybersecurity Package europeo adottato dal 13 settembre 2017, come un insieme di strumenti per prevenire ed affrontare gli attacchi informatici. Il documento tiene conto degli attuali standard internazionali di sicurezza informatica (es. ISO 27001, NIST 800-53, PCI-DSS, CSA Cloud Control Matrix) e si va ad affiancare alla Direttiva Nis ed al GDPR.

Tra i principali argomenti trattati nel Cybersecurity Act, hanno rilievo la riforma globale dell’ENISA (European Union Agency for Cyber security, il cui mandato è stato reso permanente) e la creazione di un quadro di certificazione di prodotti e servizi di sicurezza informatica. Sarà quindi possibile ottenere la certificazione dei propri prodotti e servizi e vedersi riconoscere un livello di affidabilità che corrisponderà alla loro capacità di resistere agli attacchi di sicurezza informatica.

Diventa quindi essenziale per le aziende approcciare in modo strutturato il tema della sicurezza informatica e possono essere sicuramente utili strumenti come il Framework Nazionale per la Cybersecurity e la Data Protection che, ispirandosi al Framework creato dal NIST (National Institute of Standards and Technology), fornisce uno strumento operativo per organizzare i processi di cybersecurity adatto alle organizzazioni pubbliche e private, di qualunque dimensione.

Le statistiche ci dicono che i reati informatici sono in continuo aumento e che le aziende che hanno subito violazioni dei propri sistemi hanno subito danni diretti e indiretti: perdita di dati, costi di ripristino, fermi aziendali, perdita di clienti, perdita di opportunità di business e rallentamenti nella loro crescita.

Possiamo concludere dicendo che la speranza è che presto ogni organizzazione si doti di un proprio Sistema di Gestione delle Sicurezza delle Informazioni e che aumenti il proprio livello di conoscenza e di competenza per contrastare la diffusione del Cybercrime facendo recuperare velocemente quel gap che si è formato in Italia rispetto ai paesi tecnologicamente più evoluti.

Privacy e Sicurezza. Non Bisogna Abbassare la Guardia

28 Giu , 2019,
esseti
, , , , , ,

Nuovo

un anno dalla sua applicazione, il gdpr impegna ad una "funzione sociale"

Il CNR di Pisa ha ospitato l’ottava edizione del forum annuale di Fedeprivacy. Oltre 50 gli interventi da parte di esperti della materia e oltre mille prenotati tra il pubblico per scoprire le ultime novità sul Gdpr approvato appena un anno fa dall’Ue.

Un pericoloso calo di attenzione sui temi della privacy”: il Segretario generale del Garante Privacy, Giuseppe Busia, lancia l’allarme dal palco dell’ottava edizione del Privacy Day al Cnr di Pisa evidenziando che nonostante l’entrata in vigore, ormai un anno fa, del GDPR, la situazione che si sta creando in Italia “non è nella logica del nuovo Regolamento Ue, che non prevede un adempimento una tantum, ma richiede una manutenzione continua in un cammino che si fa di giorno in giorno, e quindi c’è qualcosa da recuperare sotto questo profilo”. 

Allarme che suona più forte dopo la recente scadenza del 20 maggio u.s. del periodo di «prima applicazione» in relazione all’applicazione delle sanzioni per violazioni del Regolamento UE 2016/679 (GDPR) e del nuovo Codice della privacy (come modificato dal d. lgs 101/2018).

“Il nuovo Regolamento Ue in materia di privacy – come dichiarato recentemente dal Garante Privacy Antonello Soro – ha valorizzato in maniera determinante la “funzione sociale” della protezione dei dati personali, attribuendo un ruolo chiave e una più marcata responsabilità ad aziende e pubbliche amministrazioni”

Dati alla mano il presidente di Federprivacy Nicola Bernardi ha evidenziato che “i professionisti che si informano regolarmente sulla materia risultano circa 18mila, numero di gran lunga inferiore rispetto alle oltre 48.500 comunicazioni di nomine di Data Protection Officer (DPO) ricevute dal Garante. E se il 62% degli addetti ai lavori non si tiene aggiornato rispetto a temi che sono in continua evoluzione come quelli della protezione dei dati, questo si traduce inevitabilmente in una scarsa preparazione da parte delle aziende che mette a rischio la tutela della privacy degli utenti

Contributi alle PMI dalle Camere di Commercio per gli investimenti in I4.0

11 Ott , 2018,
esseti
, , , , , , , , ,

C'è tempo fino al 30 novembre per presentare le richieste di contributo per spese in consulenza e formazione

spese voucher digitali

Nell’ambito delle iniziative promosse dal Ministero dello Sviluppo Economico relative a “Piano Nazionale Industria 4.0 – Investimenti, produttività ed innovazione” le Camere di Commercio hanno attivato una specifica iniziativa approvata sempre dal MISE denominata Progetto “Punto Impresa Digitale” (PID), diretta a promuovere la diffusione della cultura e della pratica digitale nelle micro, piccole e medie imprese di tutti i settori economici.

Si tratta di Bandi specifici  rivolti alle PMI iscritte alle Camere di Commercio nel proprio ambito territoriale, con i quali è possibile richiedere un contributo per avviare attività di formazione e/o consulenze professionali necessarie per adeguare i processi organizzativi e produttivi aziendali, alle tematiche della digitalizzazione.

I Bandi rientrano nel quadro dei Contributi digitali I4.0 – Misura B – Anno 2018 attivati dalle sedi territoriali delle Camere di Commercio.

Scarica il Disciplinare della CCIAA di Siena

Scarica il Disciplinare della CCIAA di Prato

I Termini per presentare le richieste scadono il prossimo 30 Novembre

Requisiti

PMI aventi sede legale e/o unità locali nella propria  circoscrizione territoriale della Camera di Commercio, e in regola con il pagamento del diritto annuale

Le risorse complessivamente stanziate sono definite dalle singole Camere di Commercio.

Il valore massimo di contributo che può essere richiesto  è comunque di € 7.000,00 e dovrà coprire il 70% dell’importo complessivo delle spese ammesse ed effettivamente sostenute oltre la premialità di cui all’art. 13 del disciplinare (definito dalle singole CCIAA), relativo al rating di legalità. Per essere ammessi al contributo i progetti devono superare un importo minimo di € 3.000,00

Servizi di consulenza relativi ad una o più tecnologie tra quelle previste all’art. 2 del Disciplinare erogati dai fornitori descritti nella “Scheda” e le spese per formazione esclusivamente se essa riguarda una o più tecnologie tra quelle previste dall’art. 2, comma 4, Elenco 1, della parte generale del Disciplinare

Le domande possono essere presentate dal 23/07/2018 al 30/11/2018 secondo quanto specificato dai singoli Bandi e dalle procedure indicate dalle Sedi territoriali a cui l’impresa deve fare riferimento.

Si tratta comunque di inviare la documentazione secondo procedure digitalizzate (posta certificata), con sottoscrizione digitale o autografa, accompagnata dal documento d’identità del legale rappresentante dell’impresa richiedente

Contributi PMI I4.0 consulenza e formazione

Sei interessato a presentare la tua domanda?

Contattaci subito per individuare i servizi di consulenza e formazione che possiamo offrirti.

Possiamo assisterti anche nella redazione del Progetto e nella presentazione della domanda alla Camera di Commercio del tuo ambito territoriale.