Tag Archives: privacy

Fase due in arrivo. Le Tecnologie che ci guidano tra nuovi scenari economici e libertà personali “minacciate” da App Contact Tracing

7 Mag , 2020,
esseti
, , , , , , ,
Il vero problema dell'umanita......
E.O Wilson

Così inizia una celebre frase del Biologo E.O Wilson, che qualche giorno fa è stata commentata in un post Instagram dei ,  brillantemente e acutamente “corretta”.

La scuola permanente di filosofia e immaginazione di Maura Gancitano e Andrea Colamedici ha affrontato il tema dell’utilizzo delle tecnologie nella società attuale e in particolare ha proposto una discussione sull’utilizzo dell’App Immuni , coinvolgendo il giornalista, imprenditore, docente e consulente della comunicazione del Bambin Gesù,.

L’affermazione di Wilson continua così:

…è che abbiamo emozioni paleolitiche, istituzioni medioevali e tecnologie futuristiche”
E.O Wilson

La “correzione” proposta da Tlon nel post, ribalta la costruzione e il significato della frase cogliendo, a pieno il contesto attuale.

Il vero problema dell’umanità è che abbiamo tecnologie futuristiche che approfittano di istituzioni medioevali per abusare delle nostre emozioni paleolitiche.

Nella lotta tra le “tecnologie futuristiche” e le “istituzioni medioevali” le vittime sono le “nostre emozioni paleolitiche”. Ci permettiamo  così di dare il mio ulteriore contributo.

Nicola Zamperini, Autore di Castelvecchi), ha commentato e risposto alle sollecitazioni e agli interrogativi proposti nel dialogo condotto da Andrea Colamedici, offrendo spunti di riflessione molto significativi e lucidamente onesti sul tema dell’influenza delle tecnologie, soprattutto in questa fase di “rivoluzione” dei rapporti comunicativi e sociali.

“Ogni problema oggi è un problema tecnologico”. Così si è aperto il dialogo.

Il Topic della cosiddetta fase 2 ruota tutto attorno all’utilizzo delle App di contact tracing, come Immuni, per affrontare la gestione della convivenza con il virus e riuscire controllare o arginare i rischi. La gente comune, i politichi, gli studiosi, i sociologi tutti quanti, stanno disquisendo sull’utilizzo di un App che “potrebbe” invadere la libertà personale.

Proprio in rete, si moltiplicano articoli ed interventi di autorevoli fonti di settore, che mettono in evidenza le conseguenze, positive e potenzialmente negative, dell’utilizzo di queste tecnologie, puntando l’attenzione sulla gestione dei dati personali o su aspetti legati alla sicurezza del framework che le caratterizzano.

La gestione dei dati personali però è sicuramente l’aspetto che più suscita preoccupazione e scandalo nell’opinione comune, mentre gli addetti ai lavori analizzano anche l’aspetto della cybersecurity legato alla maggiore diffusione di possibili accessi di attacco. Aspetto quest’ultimo non meno inquietante.

Dobbiamo però onestamente chiederci di quale invasione ai dati personali dovremmo correttamente preoccuparci. Non ha senso illuderci sul fatto che questo terreno sia stato fin’ora inesplorato. Quale differenza potrebbe esserci nell’utilizzo di queste tipologie di App rispetto a tutto quello oggi stiamo già utilizzando?

Chiunque ormai si renderà conto che non c’è nessuna differenza (se non quella di essere utilizzata ad uno scopo legato alla salute e quindi percepita più invasiva), ma forse il fatto che una voce più o meno ufficiale ci “suggerisca” di utilizzarla, ci costringe ad un allarme un po’ ingenuo.

Come afferma Zamperini nel corso del dialogo, possiamo rinunciare alla tecnologia se la consideriamo minacciosa, invasiva e lesiva delle nostre libertà personali. Nessuno ce lo impedisce. Bisogna senza dubbio esssere creativi e soprattutto capaci di sapere come farlo. Dobbiamo però soprattutto essere coscienti di cosa significa e accettare di rinunciare anche ad altre abitudini che oggi, sono irrinunciabili per tutti o almeno per molti. Abitudini personali, ma anche abitudini legate a tutti gli aspetti sociali ed economici della nostra società e molto probabilmente anche ai nostri stessi diritti civili.

covid19_immuni

E se per ipotesi la diffusione del Corona virus avesse colpito le tecnologie e non l’uomo e per provare ad arginare il disastro avessimo dovuto rinunciare ad internert, ai social, alle telecomunicazioni?

Non serve pensare all’apnea dei nativi digitali o della generazione Z per rendersi conto dell’effetto che si verrebbe a creare, ma basta ammettere umilmente che la vita di tutti noi abitanti del 21° secolo è strettamente legata alla tecnologia e a quello che ne consegue.

Nel corso dell’epidemia è la “rete” che ha vinto la sfida. Non ha fatto altro che accogliere tutti e raccogliere dati.

Ecco qui un esempio di chi realmente sta investendo sul futuro: Un “impresa” che sta acquisendo risorse (i nostri dati) per capire e prevedere come si trasformerà in futuro, il mercato e la società.

Zamperini indica chiaramente che oggi, le grandi corporation tecnologiche, sono le uniche che conoscono lo stato d’animo del mondo, le paure del pianeta e la salute di tutti noi.

Oggi più che mai, stati d’animo, opinioni, legami e contatti, sono convogliati nelle grandi piattaforme e in rete.

Quando le aziende saranno pronte per ricominciare a vendere — e qui si apre un altro mondo — saranno i dati raccolti delle corporation tecnologiche quelli che le faranno vendere….

Cediamo molto volentieri (o inconsapevolmente) i nostri dati per far si che la rete (o un Brand) soddisfi i nostri desideri, ma dimentichiamo che cediamo già informazioni forse molto più invasive di quelle che un App come Immuni acquisisce e che per di più viene utilizzata per fronteggiare un pericolo che minaccia in sostanza la ripresa stessa delle attività e della nostra economia.

Vogliamo ripartire ma non siamo disposti a fare in modo che possiamo farlo utilizzando strumenti che possono favorire una ripresa sicura? Intanto possiamo continuare a fare ricerche su Google, condividere pensieri e festeggiare eventi su Zoom. Sicuramente qualcuno, domani ringrazierà.

La realtà ci dice che un App come Immuni già esiste e opera. Anzi un “App” molto più importante e potente di Immuni.

Zamperini ricorda anche che solo attraverso Google Trends — citando un articolo del NewYork Times — un giornalista ha ricreato sostanzialmente una mappa di diffusione dell’epidemia, sfruttando i dati raccolti dal trend di parole chiave legate ad approfondimento sui problemi di gusto e olfatto (uno dei sintomi del virus).

social_dati

Anni fa, un esperimento sempre di Google — Google Trend influenzali (GFT ) — ha fornito stime dell’attività influenzale in oltre 25 paesi tentando di fare previsioni accurate sull’attività influenzale. L’idea alla base era che, monitorando milioni di comportamenti di monitoraggio della salute online di utenti, il gran numero di query di ricerca di Google raccolte poteva essere analizzato per rivelare se l’esistenza o la una presenza di malattia simil-influenzale in una popolazione.

E’ evidente quindi che la discussione attuale sulla invasività di un App per gestire un’emergenza dai risvolti economici letali per tutti, appare quanto meno un po’ fuori fuoco.

Quello su cui invece è opportuno riflettere per cercare di affrontare la realtà che ci aspetta è su come utilizzare le informazioni che possiamo raccogliere o che potremo analizzare, studiare e valutare.

L’emergenza COVID-19 ha segnato un punto di svolta. Credo che ormai sia indiscutibile.

Ci ha fatto intravedere un altro mondo che, inutile negarlo, ci aspetterà da qui in avanti. Potremmo pensare che l’effetto COVID-19 avrà sulla futura generazione lo stesso effetto che ha avuto la tecnologia sulla nostra generazione. Non lo potremo ignorare perché avrà portato ad un nuovo modello sociale.

Cambierà tutto perché comunque dovremo convivere con questa realtà, per poco, per un po’ o per molto. In ogni caso il cambiamento è in atto e non c’è futuro se torniamo indietro.

La tecnologia può offrirci delle soluzioni, ma dobbiamo avere l’umiltà o la coscienza di accettare che non ne abbiamo il controllo, ma dobbiamo invece controllare il nostro livello di coinvolgimento…”non dobbiamo abusare delle nostre emozioni paleolitiche…”

I sistemi economici, le imprese devono accettare l’idea di lavorare su una nuova visione, riprogettare le strategie e soprattutto capire che il mercato avrà una nuova veste e nuove esigenze. E queste sono già note a qualcuno.

Starà nella capacità di acquisire parte di quella conoscenza che porterà a definire i vari punti di forza.

Report su dati e-commerce dell’ultimo periodo, dimostrano già oggi come stanno modificando le aziende le strategie di vendita e di marketing. Dovremo considerare una nuova filosofia di vita, che in ogni caso sarà presente nella realtà che si sta delineando. Un nuovo fronte che però non è sconosciuto perché già “elaborato” da dati acquisiti, comunicati espressi. Il modello di vita che dobbiamo accettare mutato in qualche modo, offrirà sempre di più dati e informazioni alla rete.

Ora più che mai dobbiamo guardare oltre l’attuale. Ora più che mai parlare di innovazione significa comprendere, sotto tutti i profili sociali, il cambiamento che stiamo vivendo.

La diffusa tendenza a mettere in luce tutti gli aspetti che prima avevamo trascurato, che prima non avevamo il tempo di, che prima non erano necessari, che prima erano scontati…ora non lo sono più grazie al COVID-19. Ma direi a questo punto grazie alla rete che ha raccolto questo nuovo mood mondiale e che ce lo mostra, anche se in piccolissima parte.

Questo potrebbe essere già un dato…. nuovi bisogni, nuove priorità che possiamo già vedere, proprio grazie a tutti noi che ogni giorno utilizziamo, non un App che ci segnala possibili situazioni di contagio, ma semplicemente lavorando, facendo running, andando al cinema o prenotando un ristorante.

Un’azienda che pensa ad una visione strategica futura non può tenerne conto.

E già qualcuno lo sta facendo.

Concludiamo con l’esempio di un’icona del mondo della moda come Giorgio Armani, che ha dichiarato guerra ad una visione del mercato che non ha più ragione (e credo non sia solo un aspetto morale…) di esistere.

Cogliendo l’umore attuale ha ridisegnato il suo approccio al mercato, un nuovo modello di produzione e organizzazione della sua Maison per diffondere un nuova mission per il suo Brand.

‘Non si può pensare solo al profitto. La moda deve rallentare se vuole ripartire. E tornare a essere umana…L’emergenza in cui ci troviamo dimostra che l’unica via percorribile sia un attento e ragionato rallentamento…Trovo assurdo che si possano trovare in vendita abiti di lino nel bel mezzo dell’inverno e cappotti d’alpaca d’estate per la semplice ragione che il desiderio d’acquistare deve essere immediatamente soddisfatto”

Siamo certi che qualcuno lo seguira.

Smart working: privacy e sicurezza nel contesto dell’epidemia di COVID-19

24 Apr , 2020,
esseti
, , , , , , ,

L’emergenza del COVID-19 ha accelerato l’adozione, su tutto il territorio nazionale, delle misure di lavoro agile, il cosiddetto “smart working” (introdotto per la prima volta dalla Legge n. 81 del 2017), al fine di evitare gli spostamenti e contenere i contagi.

blogger-336371_1920

A causa del modo improvvisato con cui il sistema produttivo italiano si è avvicinato a questa modalità di lavoro, le aziende e le persone potrebbero non essere pronte ad avvalersene correttamente. Il “lavoro agile”, infatti, richiede un sapiente utilizzo dell’innovazione digitale, una gestione integrata ed un’evoluzione dei modelli organizzativi aziendali di cui la privacy è parte integrante, per via del ruolo di primo piano rivestito dalla tecnologia.

Le modalità flessibili di lavoro smart, in generale, consentono di migliorare la produttività delle imprese e di usufruire di diversi incentivi fiscali, oltre a permettere ai lavoratori una migliore conciliazione tra lavoro e famiglia, producendo pertanto maggiori opportunità per le imprese e per loro stessi. Dall’altro lato, però, l’improvviso utilizzo dello smart working espone a maggiori rischi informatici i dispositivi aziendali, ma anche quelli personali, spesso usati in questa circostanza per necessità lavorative.

A partire dall’inizio del contagio del Coronavirus sono in constante crescita attacchi informatici come ad esempio l’invio di e-mail sospette, tutte riferite all’attuale situazione d’emergenza, in cui vengono richieste credenziali e dati personali (phishing) o che contengono allegati o link dannosi. Questo dato evidenzia quanto i criminali informatici, sfruttando le notizie globali e la situazione d’emergenza sanitaria, si approfittano delle persone che cercano informazioni sul contagio e che sono per questo più propense a cliccare su link potenzialmente dannosi o a scaricare allegati che si rivelano indesiderati.

In questa condizione, il datore di lavoro è tenuto a prestare adeguata attenzione a diversi aspetti inerenti l’uso delle nuove tecnologie. Deve continuare a mantenere, seppur a distanza, contatti con i propri dipendenti portando avanti il lavoro quotidiano, nel rispetto dei limiti fissati dallo Statuto dei Lavoratori. L’articolo 4 ha una particolare rilevanza quando si parla di lavoro agile, perché fissa un principio cardine: sono vietati l’installazione e l’uso di strumenti tecnologici e sistemi in grado di controllare a distanza lo svolgimento dell’attività lavorativa del dipendente, a meno che il ricorso a questi non sia stato prima siglato con un accordo sindacale o sia autorizzato dall’Ispettorato Territoriale del Lavoro.

Lo Statuto, nato nel 1970, è stato interpretato in maniera evolutiva dalla giurisprudenza e dagli orientamenti del Garante della Privacy e ha finito per comprendere anche un controllo sugli strumenti digitali dei lavoratori: dai sistemi di rilevazione della posizione fino ai software che monitorano in maniera costante l’uso che viene fatto di internet. La riforma del 2015 (Jobs Act) ha poi aggiunto che, anche se lo strumento di controllo a distanza è lecitamente installato, il datore di lavoro deve preventivamente informare il lavoratore agile sulla possibilità di eseguire controlli sulla sua prestazione.

Non c’è, comunque, un divieto “assoluto” di controllo sul lavoratore da parte del datore; se quest’ultimo ha il fondato sospetto che il dipendente stia commettendo degli illeciti, può svolgere controlli mirati, anche a distanza, a patto che siano proporzionati e non invasivi, e che riguardino beni aziendali (il PC fornito dal datore, la casella di posta aziendale, etc.) rispetto ai quali il dipendente non ha alcuna “aspettativa di segretezza”, dal momento che gli strumenti aziendali non possono essere usati per motivi personali.

Tuttavia, il datore di lavoro deve anche occuparsi della sicurezza dei dati e delle reti aziendali, a tutela dei propri dipendenti, clienti e fornitori (rispettando adeguati standard di sicurezza di data protection e cyber security). I dipendenti e i collaboratori, dovrebbero avere precise istruzioni, impartite dal titolare, per la salvaguardia dei dati personali che sono autorizzati a trattare nello svolgimento della propria mansione lavorativa. Non tutte le aziende, però, hanno direttive e procedure di sicurezza precise per lo smart working, soprattutto quando questo non è stato mai previsto prima d’ora.

L’errore più frequente nell’usufruire delle modalità di lavoro agile, utilizzando dispositivi personali e non forniti dall’azienda, è quello di trascurare le misure di sicurezza, non adottando sistemi antivirus e sottovalutando i rischi connessi alla navigazione in rete (accesso a siti pericolosi, download, etc.): uno scenario potenzialmente pericoloso se si accede, in questo modo, ai sistemi e ai server aziendali da remoto.

Anche in questo periodo di emergenza sanitaria, le misure di sicurezza adeguate che il titolare del trattamento dovrebbe attuare per garantire la tutela dei dati personali, dovranno rispettare il Regolamento UE 2016/679 (GDPR). Perciò il datore di lavoro dovrà attuare tutte le procedure per l’attività lavorativa dello smart working, seppur non precedentemente previste, in modo da limitare il rischio per i diritti e le libertà fondamentali degli interessati.

Una risposta concreta a tali problemi, seppur non obbligatoria, è rappresentata dalla compilazione e dall’aggiornamento della Valutazione d’Impatto (la “DPIA” — art. 35 GDPR), ovvero un’analisi delle necessità, della proporzionalità, nonché dei relativi rischi, allo scopo di approntare misure idonee ad affrontarli.

In questa forma di lavoro agile non si può non far riferimento alla cyber security, poiché innumerevoli informazioni vengono scambiate e condivise online. I dati particolari, le proprietà intellettuali e i documenti riservati potrebbero subire furti, perdite accidentali, accessi abusivi, diffusioni dolose o colpose ed essere quindi oggetto di “data breach”.

Oltre ad affidarsi a VPN (Virtual Private Network) sicure e a provider affidabili, anche in questo caso, la formazione dello smart worker costituirebbe un’efficace misura di sicurezza, poiché come prescritto dall’art. 32 del GDPR:

“Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri”.

Occorrerà considerare questa diffusione epidemica come un evento che ha interrotto l’abituale continuità lavorativa e, conseguentemente, ha minacciato i sistemi informativi. È auspicabile trarne un insegnamento per implementare sistemi efficaci al fine di rendere maggiormente operativa l’azienda già a partire dalla “Fase 2”, attivando una corretta progettazione e una maggiore cultura della sicurezza fra i dipendenti.

GAP TECNOLOGICO? PER IL CYBERCRIME E’ SEMPRE UN VANTAGGIO. LA PAROLA D’ORDINE E’ SAPERSI DIFENDERE.

8 Nov , 2019,
esseti
, , , , , , , , , , , , , ,

Le criticità legate alla maggiore o minore diffusione delle nuove tecnologie, il ruolo della digitalizzazione e della sempre più capillare invasione delle connessioni nelle nostre vite, non è un fattore da demonizzare, se si è consapevoli di quello che significa.

Cyberdefence e digitalizzazione

Questo è un primo e significativo aspetto di cui dobbiamo sempre tenere conto, nell’affrontare con il giusto approccio il tema dell’innovazione e della digitalizzazione, ormai elemento cardine della nostra società e della nostra economia.

E’ quanto è emerso anche in occasione del dibattito, promosso dalla Camera di Commercio di Arezzo e Siena attraverso l’azienda speciale Arezzo Sviluppo, svolto giovedì 7 novembre 2019 presso la sede della Banca d’Italia Sede di Arezzo e in collaborazione con Confindustria Toscana Sud, Punto Impresa Digitale e Clusit.

Nel dibattito si sono confrontati esperti e protagonisti del mondo imprenditoriale, del sistema associativo e delle istituzioni, impegnate su vari fronti a gestire il tema della sicurezza informatica o Cyber Defence.

Da una prima panoramica della situazione del sistema economico-produttivo  locale  sul fronte della digitalizzazione – spiega Giuseppe Salvini, Segretario Generale Camera di Commercio di Arezzo e Siena emerge ancora un freno significativo da parte delle piccole e micro imprese ad investire in una vera trasformazione digitale dei processi produttivi e organizzativi.

Questo elemento ha riflessi negativi sulla produttività delle nostre imprese ma anche sulla capacità di coinvolgere risorse umane con competenze in grado di gestire questo necessario cambiamento.

Tuttavia la mancanza di un coinvolgimento completo nel sistema della digitalizzazione costituisce esso stesso un fattore di rischio.

Nell’analisi complessiva degli interventi è stato infatti evidenziato – Sabina Di Giuliomaria, Responsabile Divisione CERTBI e  Garibaldi Conte, Comitato Scientifico Clusit – che se da un lato è opportuno, necessario e irrinunciabile, comprendere quanto sia ormai rilevante la tecnologia nella nostra realtà e soprattutto nel nostro futuro, dall’altro dobbiamo acquisire sempre più  consapevolezza (awareness) per regolare e proteggere questo nuovo mondo.

L’impatto sullo sviluppo industriale, sulla produzione, sulla mobilità, sulla salute e quindi su tutta la nostra vita quotidiana di crimini informatici, di sabotaggi, di malware introdotti nei sistemi informativi e di tante altre minacce illustrate nel dettaglio dal rapporto CLUSIT 2019, sarà tanto maggiore quanto minore è l’attenzione del sistema economico e sociale al tema della protezione.

Fabrizio Bernini, Presidente Confindustria Toscana Sud Delegazione di Arezzo e Presidente Zucchetti Centro Sistemi Spamette ben in evidenza la necessità da parte del sistema produttivo di essere coinvolta pienamente nel processo di digitalizzazione, ma sottolinea anche che l’atteggiamento verso l’innovazione deve essere configurato all’interno di un quadro di protezione efficace del sistema stesso. Se pensiamo soprattutto al ruolo dell’Intelligenza Artificiale possiamo misurare bene quanto sia rischioso incorrere in  una ”interferenza indesiderata”  ad es. su un auto a guida autonoma o su un dispositivo medico salvavita.

Conquistare il mercato con un prodotto o servizio innovativo non basta. Serve soprattutto sapersi difendere dal suo utilizzo improprio

Sul fronte normativo le Istituzioni più importanti a livello nazionale ed europeo, cercano di stabilire delle regole di salvaguardia che partano dalla tutela delle persone e in particolare dalla tutela dei dati personali.

Questo primo sistema di protezione cerca quindi di responsabilizzare il sistema economico verso la gestione dei dati delle persone, ma le persone sono parte dello stesso sistema economico.   Stefano Susini, Amministratore di Esseti Servizi Telematici evidenzia infatti  come i rischi di Data Breach alle quali le imprese sono sempre più esposte, non solo costituisce un danno economico sotto il profilo del blocco produttivo, della perdita di informazioni necessarie per la gestione aziendale  o della perdita dei clienti, ma anche una reale perdita monetaria dovuta alle sanzioni significative da versare in caso di riscontrata responsabilità nel non aver definito un adeguato sistema di protezione.

Favorire la crescita del sistema economico  e il miglioramento delle condizioni di vita della nostra società attraverso l’utilizzo delle tecnologie digitali e delle loro applicazioni è senza dubbio un aspetto positivo al quale è impossibile sottrarsi.

Ma proprio per questo è necessario mettere in campo tutto quanto necessario, con consapevolezza e con  massima efficacia, per regolare e difendere questo contesto.

Privacy e Sicurezza. Non Bisogna Abbassare la Guardia

28 Giu , 2019,
esseti
, , , , , ,

Nuovo

un anno dalla sua applicazione, il gdpr impegna ad una "funzione sociale"

Il CNR di Pisa ha ospitato l’ottava edizione del forum annuale di Fedeprivacy. Oltre 50 gli interventi da parte di esperti della materia e oltre mille prenotati tra il pubblico per scoprire le ultime novità sul Gdpr approvato appena un anno fa dall’Ue.

Un pericoloso calo di attenzione sui temi della privacy”: il Segretario generale del Garante Privacy, Giuseppe Busia, lancia l’allarme dal palco dell’ottava edizione del Privacy Day al Cnr di Pisa evidenziando che nonostante l’entrata in vigore, ormai un anno fa, del GDPR, la situazione che si sta creando in Italia “non è nella logica del nuovo Regolamento Ue, che non prevede un adempimento una tantum, ma richiede una manutenzione continua in un cammino che si fa di giorno in giorno, e quindi c’è qualcosa da recuperare sotto questo profilo”. 

Allarme che suona più forte dopo la recente scadenza del 20 maggio u.s. del periodo di «prima applicazione» in relazione all’applicazione delle sanzioni per violazioni del Regolamento UE 2016/679 (GDPR) e del nuovo Codice della privacy (come modificato dal d. lgs 101/2018).

“Il nuovo Regolamento Ue in materia di privacy – come dichiarato recentemente dal Garante Privacy Antonello Soro – ha valorizzato in maniera determinante la “funzione sociale” della protezione dei dati personali, attribuendo un ruolo chiave e una più marcata responsabilità ad aziende e pubbliche amministrazioni”

Dati alla mano il presidente di Federprivacy Nicola Bernardi ha evidenziato che “i professionisti che si informano regolarmente sulla materia risultano circa 18mila, numero di gran lunga inferiore rispetto alle oltre 48.500 comunicazioni di nomine di Data Protection Officer (DPO) ricevute dal Garante. E se il 62% degli addetti ai lavori non si tiene aggiornato rispetto a temi che sono in continua evoluzione come quelli della protezione dei dati, questo si traduce inevitabilmente in una scarsa preparazione da parte delle aziende che mette a rischio la tutela della privacy degli utenti

Decreto GDPR: la pubblicazione del testo in Gazzetta Ufficiale

6 Set , 2018,
esseti
, , , ,

Il decreto delegato di adeguamento della normativa nazionale alle disposizioni del GDPR è stato pubblicato in Gazzetta Ufficiale.

Decreto GDPR

Il Decreto pubblicato sulla Gazzetta ufficiale  pone al Garante Privacy nuovi grandi poteri e altrettante responsabilità.

L’ottica è quella di mettere nei prossimi mesi l’Italia nelle condizioni di passare definitivamente dal vecchio al nuovo sistema privacy attraverso una “regia” unificata, facendo riferimento ad un unico  contesto normativo, costituito da fonti regolatorie su più livelli.

Si tratta però di un passaggio non facile

 

Il pilastro portante della costruzione è costituito ovviamente dal GDPR. Il contesto nazionale però, pur ruotando tutto intorno al regolamento europeo, è costituito sia dal nuovo decreto delegato che dal vecchio decreto delegato come novellato a seguito della entrata in vigore di quest’ultimo.

Il quadro normativo che emerge dopo la pubblicazione del decreto di adeguamento è destinato a complicarsi ulteriormente, accentuata dal forte rafforzamento dei poteri del Garante che si estende anche alla adozione di regole deontologiche, provvedimenti a carattere generale e misure di garanzia che si configurano di fatto come un ampio strumentario di soft law.

Un provvedimento particolarmente interessante che il Garante dovrebbe adottare in futuro riguarda l’individuazione di modalità semplificate di adempimento degli obblighi di quei titolari classificabili come PMI. A questo proposito, è bene ribadire come il margine di manovra del Garante sia estremamente limitato, visto che tali modalità semplificate potranno essere previste solo nei limiti di quanto consentito dal GDPR, il quale prevede limitatissime deroghe per le PMI.

È inoltre importante chiarire che il provvedimento del Garante si applicherà solo a quelle aziende che rispettino tutti i requisiti della definizione di PMI fissati a livello europeo (meno di 250 dipendenti; fatturato annuo non superiore a 50 milioni di euro oppure totale di bilancio annuo non superiore a 43 milioni di euro), da valutarsi anche tenendo conto dei dati di eventuali imprese associate e collegate.

Windows Server 2008: termina il programma di supporto

3 Set , 2018,
esseti
, , , , , , , , , , ,
UpDateMicrosoft

Dopo il termine del supporto "Extended" per Windows Server 2003 a partire dal 14 luglio 2015, Microsoft annuncia altre due importanti scadenze per i servizi di supporto aggiornamento.

Fonti:Microsoft

Il primo termine è quello del 9 luglio 2019  con il quale terminerà il supporto per SQL Server 2008 e il secondo quello del  14 gennaio 2020  dal quale terminerà definitivamente il  supporto sugli ormai obsoleti S.O.  della famiglia Windows server 2008.

La fine dei programmi di rilascio degli aggiornamenti di sicurezza rendono questi sistemi, se ancora presenti in alcune strutture,  esposti ad alto richio di attacco alla sicurezza.

Problema non da poco, visto che questo significa  non rispettare l’adeguamento alle normative del settore e in particolar modo  l’adeguamento alla normativa il GDPR.

Pertanto tutte le Aziende che ancora utilizzassero sistemi Windows Server 2008 , o addirittura ancora la versione 2003, dovranno valutare attentamente la necessità di aggiornare il proprio sistema di protezione, adeguando i servizi alle opzioni disponibili sul mercato.

Nel pieno fervore della Digital Transformation ed in linea diretta con le misure tecnico organizzative che ci impone il GDPR, Microsoft si mantiene quindi in prima linea nell’implementazione delle soluzioni tecnologie innovative necessarie a migliorare le performace della gestione dei sistemi operativi esistenti nelle realtà aziendali .

 

L’esecuzione degli aggiornamenti sugli attuali Sistemi Operativi può essere effettuata, entro la scadenza indicata al 2020 in modalità cloud o locale, sfruttando le licenze esistenti per acquisire un servizio di abbonamento esteso fino a tre anni e avere quindi la possibilità gestire la tempistica di adeguamento in maniera programmata.

Le soluzioni ufficiali proposte da Microsoft sono implementate su infrastrutture ON-PREMISE e sulla piattaforma CLOUD di AZURE.

L’esecuzione degli aggiornamenti sugli attuali Sistemi Operativi può essere effettuata, entro la scadenza indicata al 2020 in modalità cloud o locale, sfruttando le licenze esistenti per acquisire un servizio di abbonamento esteso fino a tre anni e avere quindi la possibilità gestire la tempistica di adeguamento in maniera programmata.

Contattaci per avere maggior informazioni e programmare gli interventi necessari

Evita interruzioni lavorative e sfrutta questa opportunità per adottare le tecnologie di sicurezza e innovazione più moderne

Competenze digitali e professioni nell’era dell’industria 4.0. Sicurezza e Big Data

10 Ago , 2018,
esseti
, , , , , , , , ,

Siamo davvero preparati ad affrontare i diversi cambiamenti richiesti dal mercato del lavoro? ma soprattutto siamo consapevoli che questi cambiamenti non riguardano solo chi deve iniziare la propria carriera lavorativa?

Fonti: Assinform; Hays; Bitmat; il sole24Ore;

La digitalizzazione e le trasformazioni del modello industria 4.0 stanno infatti cambiando il modo in cui tutti noi lavoriamo come mai era successo prima d’ora.

Per questo dobbiamo dare peso e valore all’ inquadramento delle competenze in tutti i contesti lavorativi, e durante tutto l’arco della vita lavorativa.

Soprattutto in un mondo del lavoro che richiede sempre più flessibilità non solo nell’accesso ma anche nella costruzione della propria crescita professionale.

Tutti i lavoratori, sempre di più, saranno misurati su skill rispondenti alla capacità di gestire la trasformazione digitale.

Il problema principale però è che questo orientamento è ancora troppo poco diffuso nelle imprese, nelle pubbliche amministrazioni, nei cittadini. Ogni aspetto della nostra vita è caratterizzato dall’interazione digitale, illudendoci di poterne gestire il controllo e la capacità di gestione.

Le aziende devono dimostrare di saper programmare le proprie necessità di collaboratori per il futuro, poiché i loro migliori competitors lo stanno già facendo. Dal canto loro i professionisti devono fare tutto quello che è in loro potere per rimanere nel mercato del lavoro per molti anni a venire.

I cambiamenti legati alle nuove normative in diversi mercati e il continuo focus sulla trasformazione digitale, stanno portando alla luce aspretti significativi sul fronte delle competenze ma anche delle nuove figure professionali.

Ci sarà soprattutto aumento di richieste per leader che possono testare i nuovi sistemi tecnologici, al fine di assicurane affidabilità, provvedere soluzioni in caso di attacco informatico e tenerli sempre aggiornati, facendoli rimanere in linea con le nuove tendenze del mercato.

Profili come  Chief Cyber Security Officers (CCSOs) per supervisionare l’organizzazione relativamente alla cyber security e il team di ingegneri che la implementeranno, sono un esempio significativo di questa nuova tendenza.

La gestione della Sicurezza e della Privacy

Sulla spinta del General Data Protection Regulation (GDPR) attualmente recepito in Italia e in Europa, le aziende ricercano molti esperti in governance dei dati.

E’ stato stimato che questo regolamento creerà all’incirca opportunità di lavoro per 75.000 profili di Data Protection Officer nel mondo. Il GDPR impone limiti sui dati da processare e sulla profilazione degli utenti/consumatori, aumentando la responsabilità delle aziende nel conservare e gestire i dati personali.

E’ un momento vitale di legislazione e ogni leader di impresa dovrebbe capirne l’impatto, perché sarà profondo.

Purtroppo molte imprese devono ancora comprenderne la rilevanza e la portata del fenomeno e i Dirigenti dovranno dimostrarsi all’altezza di affrontare la situazione. Per questo stanno emergendo nuovi profili dirigenziali in grado di gestire una sempre più complessa composizione di dati e comportamenti degli utenti, abbattere le barriere con le aziende, migliorare l’esperienza del consumatore e innovare le aree a più alta domanda.

Gestire e analizzare i dati

I Big Data alimentano quindi la creazione di prodotti e sistemi sempre più avanzati e le c.d. AI (Artificial Intelligence)  e questo processo diventa il nuovo vero cuore delle aziende.

In questo contesto emergono quindi le richieste verso profili che siano in grado di sviluppare questi sistemi per garantire alle aziende la costruzione di un asset vitale, quello della raccolta e gestione delle informazioni, ormai riconosciuto come patrimonio da valorizzare nel modo più proficuo possibile.

I Big Data stanno guidando la richiesta di personale per molti settori di mercato e per specifici ruoli.

Risultano essere infatti i più ricercati dalle aziende per gestire per vendite e marketing

Secondo le previsioni di Kelly Services, in ambito sales & marketing assisteremo nel corso del 2018 a una forte domanda di professionisti con queste competenze e di alcuni specifici ruoli in particolare. Il Digital Crm Manager, per esempio, è un profilo che ha acquistato importanza con la proliferazione dei dati social in azienda, sotto forma di like, retweet, commenti, cookie di navigazione. Interazione con la tecnologia. accessibili ad una nuova parte della popolazione e offrono al contempo un diverso modo di rapportarsi con gli utenti già esistenti.

Nelle direzioni commerciali emergono anche Profiling Manager che hanno il compito di organizzare al meglio i dati raccolti in area Crm e profilare nuovi segmenti di clientela con cui instaurare la migliore relazione, sia online che offline.

In stretto legame con queste figure, molto richiesti risultano quindi i  Digital Strategist che in qualità di esperti conoscitori di Internet, delle infrastrutture digitali dei nuovi media e dei social network, hanno il compito di realizzare le strategie di fidelizzazione e acquisizione.

L’importanza degli skill digitali è tuttavia evidente per tutti i settori lavorativi e produttivi.

Con riferimento a quanto emerge dall’Osservatorio delle Competenze Digitali 2018, condotto da Aica, Anitec-Assinform, Assintel e Assinter Italia, in collaborazione con MIUR e AGID, il peso delle competenze digitali cresce in tutti i settori produttivi con un’incidenza media del 13,8%, ma con punte che sfiorano il 63% nelle aree “core” di Industria e il 41% nei Servizi.

La prima sfida però da compiere è quella della revisione delle priorità strategiche.

Come abbiamo evidenziato in apertura infatti la transizione ad un approccio “digitale” è ancora a un livello troppo basso nella scala di queste priorità  priorità  e bisognerà lavorare ancora per aumentare tale consapevolezza.

GDPR: Una sintesi per aziende ed enti

7 Ago , 2018,
esseti
, , , , , ,

Dal 25 maggio è in vigore la nuova normativa in materia di protezione dei dati personali (GDPR).

Ecco un elenco dei passaggi più significativi necessari per rispondere alla nuova normativa e alle disposizioni contenute nel Regolamento UE 2016/679.

Ogni trattamento deve fondarsi sul rispetto dei principi di liceità, limitazione delle finalità e minimizzazione dei dati fissati nel Regolamento (artt. 5 e 6) e garantire agli interessati tutti i diritti previsti (artt. 13-22) tra i quali il diritto di accesso, rettifica, portabilità e cancellazione dei dati personali o limitazione del trattamento.

Ai titolari spetta il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, anche attraverso un apposito processo di valutazione (Data Protection Impact Assessment – DPIA) che tenga conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) necessarie per mitigare tali rischi.

Si tratta di uno strumento fondamentale per disporre di un quadro aggiornato dei trattamenti in essere. È obbligatorio per realtà aziendali con più di 250 addetti. Tuttavia, l’obbligo prescinde dal requisito dimensionale nel caso in cui i dati oggetto del trattamento possano presentare un rischio per i diritti e le libertà degli interessati, il trattamento non sia occasionale o includano dati sensibili, genetici, biometrici, giudiziari. I contenuti minimi sono indicati all’art. 30 del Regolamento. Deve avere forma scritta, anche elettronica, e va esibito su richiesta al Garante.

Il titolare e il responsabile del trattamento sono obbligati ad adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio del trattamento (con l’obiettivo di evitare distruzione accidentale o illecita, perdita, modifica, rivelazione, accesso non autorizzato). Ad esempio per trasferire, archiviare e ricevere informazioni dovrebbe impiegare tecnologie specifiche per rendere il dato anonimo e quando non è più necessaria la conservazione dei dati personali, gli stessi dovrebbero essere distrutti, cancellati o resi anonimi.

La designazione (in alcuni casi obbligatoria) di un DPO riflette l’approccio responsabilizzante del Regolamento. Fra i suoi compiti rientrano la sensibilizzazione e formazione del personale, la sorveglianza sullo svolgimento della valutazione di impatto, la funzione di punto di contatto per gli interessati e per il Garante per ogni questione attinente l’applicazione del Regolamento.

Applicazione del GDPR: gli ultimi chiarimenti in vista dell’applicazione del nuovo regolamento europeo

30 Apr , 2018,
esseti
, , , ,

In occasione dell’Evento, organizzato da DIGITAL 360 Group a Milano lo scorso 19 Aprile, sono stati affrontati i temi che avevano sollevato non poche polemiche nei giorni scorsi.

Fonti: Agenda Digitale; Garante Prinvacy; 

Applicazione GDPRAll’evento sono intervenuti autorevoli rappresentanti del Garante per la Protezione dei Dati Personali e del Cini – Consorzio Interuniversitario Nazionale dell’informatica.

Ecco la sintesi su alcune questioni di particolare interesse ai fini dell’applicazione in ambito aziendale, del nuovo regolamento europeo.

 


GDPR unico riferimento

A far data dal 25 maggio 2018, la legge riferimento sarà il GDPR.

Con il nuovo Dlgs, di cui il Governo sta discutendo la bozza per l’adeguamento della normativa nazionale alle disposizioni del presente regolamento, sarà abrogata la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Tale intervento è diretto essenzialmente a settori specifici di attività, quali ad esempio la sanità e la ricerca.

Il GDPR sarà comunque obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.


La figura del Data Privacy Officer (DPO)

Con il nuovo regolmento europeo è stata delineata anche una nuova figura professionale, Data Privacy Officer – DPO, che sarà ritenuta obbligatoria solo in alcuni ambiti.

Dove tale figura sarà obbligatoria, questi potrà essere un consulente esterno all’azienda ma dovrà possedere i requisiti di professionalità, indipendenze e autonomia di spesa, diventando una sorta di auditor interno dei processi di trattamento dei dati personali.

Sarà anche il Soggetto che  il Garante contatterà in caso debba acquisire informazioni o formulare contestazioni rivolte a chi tratta i dati personali in azienda.

Il DPO si configura essenzialmente come un esperto conoscitore dei processi e dei dati aziendali oltre che delle norme e tendenzialmente non è da identificarsi né in una figura di Avvocato né di un Informatico.


Certificazioni o codici di condotta dei DPO

Non esiste alcuna norma del GDPR che imponga di certificarsi o di aderire ad un codice di condotta anche perché non esiste ad oggi alcun organismo autorizzato dagli organi competenti a rilasciare certificazioni relativamente alla conformità del presente regolamento.

Le attestazioni delle competenze professionali raggiunte o della formazione eseguita possono essere utili per valutare un candidato, ma non rappresentano e non equivalgono a una “abilitazione” allo svolgimento del ruolo del DPO (né interni né esterni).


Oltre il 25 Maggio, quali sanzoni?

Il Garante privacy rimanda di sei mesi controlli e relative sanzioni.

Il Garante italiano si pone nella stessa scia del CNIL, l’Autorità garante francese, che ha dichiarato l’istituzione di un grace period durante il quale non sanzionerà le aziende che, a seguito di ispezioni, dovessero risultare inadempienti rispetto ai nuovi obblighi introdotti dal GDPR (purché i titolari siano in buona fede, dimostrino di avere avviato un processo di adeguamento e uno spirito di collaborazione con l’Autorità).

Resteranno sanzionabili le condotte che violano regole già consolidate da tempo nella normativa nazionale e confermati dal GDPR.

Non è definito il quadro sanzionatorio nel dettaglio per mantenere un grado di discrezionalità nell’applicazione.

Il Regolamento distingue le violazioni in due gruppi tali da corrispondere a illeciti più o meno gravi; l’art. 83 del GDPR prevede che “siano in ogni singolo caso effettive, proporzionate e dissuasive”.


Valutazione d’impatto

L’estensione e il contesto del trattamento, il numero di soggetti interessati e la natura dei dati oggetto di trattamento costituiscono fattori da tenere in debito conto nel determinare l’obbligatorietà della valutazione d’impatto.

Le nomine degli Autorizzati al trattamento (già Incaricati ex D.Lgs 196/2003) sono redatte sulla base delle caratteristiche e delle esigenze aziendali derivanti dalla valutazione d’impatto effettuata.


 

Applicare il GDPR? Non è così immediato

18 Apr , 2018,
esseti
, , , ,

Il nuovo dilemma ad un mese dall’applicazione del nuovo Regolamento europeo

Fonti: Altarex; Interlex; OmiaVis; Il Fatto Quotidiano

adeguamento al GDPR

 

Si fanno sempre più serrate le polemiche che in questi giorni animano il dibattito  a seguito dell’approvazione dello Schema di Decreto Legislativo che introduce disposizioni per l’adeguamento della normativa nazionale al Regolamento (UE) 2016/679, ovvero il GDPR – General Data Protection Regulation.

Nonostante le tempistiche fossero ampiamente compatibili con le “necessità” di adeguamento dei singoli Stati membri , solo il 21 marzo scorso, “ancora” in fase di formazione del nuovo Governo, il Consiglio dei Ministri ha annunciato l’approvazione dello Schema di Decreto Legislativo di recepimento.

Questo non ha certo portato a semplificare e tanto meno a chiarire le modalità con cui occorre gestire l’applicazione delle norme sull’intera materia Privacy. Anzi.

Le associazioni nazionali più rappresentative nel settore della protezione dei dati personali (ANORC Privacy e ANORC Professioni, ANDIP, Associazione Privacy Italia, Istituto Italiano Privacy, ANGIF, ANDIG e Federprivacy) sono già mobilitate per intraprendere un’azione congiunta contro il Decreto in questione.

A questo coro si aggiunge anche la voce di molti esperti del settore e di altre Associazioni di Categoria, non solo per contestare l’aspetto legato alle tempistiche e modalità con cui è stato approvato lo schema, ma anche per un vizio non indifferente per così dire di interpretazione.

La questione sostanziale è infatti legata alla previsione di un’abrogazione dell’intero Codice per la protezione dei dati personali (e delle sanzioni penali ivi previste), indicata nello stesso Schema di Decreto, che appare verosimilmente incostituzionale.

La delega al Governo per far fronte all’adeguamento al GDPR, prevedeva di abrogare soltanto le disposizioni del regolamento vigente (decreto lelgislativo 193/2003)  in contrasto con i principi indicati al livello europeo.

Un esercizio di coordinamento tra le due normative che ovviamente è stato ignorato dai nostri legislatori, che hanno individuato la soluzione più idonea nell’abrogazione dell’intero Codice in materia di protezione dei dati personali.

Resta comunque una scadenza certa, il 25 maggio prossimo, per risolvere tutta la questione.

Intanto le imprese e i soggetti interessati continuano a confrontarsi con dettagli sempre più confusi e incerti rispetto alla gestione dei dati e alla loro tutela, mentre è in atto una vera e propria bufera scatenata anche a seguito della vicenda “Cambridge Analytica”.

La vicenda sembra quindi aprire scenari del tutto nuovi, diretti probabilmente ad ulteriori “approfondimenti”.