Articoli

Ex dipendente, il Garante dispone: è illecito mantenere attivo l’account aziendale

Account aziendale dell’ex dipendente: il datore può accedere?

 

La protezione dei dati personali del dipendente deve essere assicurata anche in caso di cessazione del rapporto di lavoro. Questo è il principio espresso dal Garante per la protezione dati in un suo recente parere.

Nel caso di specie, una società aveva mantenuto attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro, accedendo alle mail aziendali contenute nella sua casella di posta elettronica. L’ex dipendente era venuto a conoscenza di questa condotta per caso, nel corso di un giudizio promosso nei suoi confronti proprio dalla sua ex azienda: quest’ultima, in particolare, aveva depositato agli atti una email recapitata sulla sua casella di posta un anno dopo la cessazione del rapporto lavorativo. L’account di posta era rimasto così attivo per oltre un anno e mezzo, e la sua eliminazione è avvenuta solo dopo la diffida presentata dal lavoratore nei confronti dell’azienda. L’ex dipendente ha, inoltre, proposto reclamo al Garante, giacché per tale periodo la società aveva avuto accesso a tutte le comunicazioni contenute nel proprio account, anche estranee all’attività lavorativa.

Secondo il Garante, grava sul datore di lavoro l’obbligo, in conformità ai principi in materia di protezione dei dati personali, di rimuove gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili dopo la cessazione del rapporto di lavoro, in un tempo ragionevole parametrato ai tempi tecnici di predisposizione delle misure.

È onore del datore di lavoro, inoltre:

  • provvedere alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento;
  • predisporre misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione;

L’adozione di tali misure tecnologiche ed organizzative consente, secondo il Garante, di contemperare l’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi.

 

 

Come operare correttamente? I percorsi formativi e i servizi di consulenza offerti da Hedya

 

Per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Si suggerisce:

 

 

Ulteriori informazioni sono disponibili qui.

 

/da

Natale “in bianco” per NoiPA: attacchi phishing per rubare stipendi e tredicesime ai dipendenti pubblici

L’attacco Phishing: la Sicurezza non va mai in vacanza

 

NoiPa è il portale per la Pubblica Amministrazione, gestito dal ministero dell’Economia e delle Finanze, che gestisce il trattamento economico e giuridico del personale centrale e periferico della PA, anche per i connessi adempimenti previdenziali e fiscali. Attraverso tale portale, dunque, i pubblici dipendenti possono prendere visione dei propri cedolini e verificare lo stato dei pagamenti accreditati in base alle coordinate bancarie fornite all’amministrazione. Il dipendente pubblico può inoltre modificare il proprio IBAN per l’accredito dello stipendio, attraverso un sistema automatizzato: per effettuare la modifica, il sistema richiede di effettuare una chiamata di sicurezza dal numero di telefono impostato nel sistema, così da verificare l’identità del dipendente, gestita da sistemi informatici (la chiamata viene chiusa dopo uno squillo, senza alcuna risposta).

L’attacco criminale, consumatosi a ridosso delle ferie natalizie, ha comportato la compromissione di alcuni account utente sul portale NoiPa, mediante un possibile attacco phishing; la condotta criminosa risultava finalizzata alla manipolazione del codice IBAN del conto corrente e del numero di telefono associato, al fine di distrarre l’accredito degli emolumenti.

Con un comunicato stampa , il Dipartimento dell’Amministrazione Generale, del Personale e dei Servizi del Ministero delle Economie e delle Finanze ha comunicato che sono stati 15 gli account compromessi su un totale di oltre due milioni di amministrati, che sono stati tutti prontamente gestiti anche grazie all’intervento della Polizia Postale. La questione è attualmente oggetto di indagini da parte della Procura di Roma, nel tentativo di individuare gli autori della condotta criminosa.

 

Attacchi cyber, come difendersi: le proposte Hedya

L’attacco cyber alla piattaforma NoiPa rappresenta l’occasione per ribadire nuovamente l’importanza della formazione del personale in materia di sicurezza informatica, per diffondere una cultura improntata alla effettiva protezione dei dati personali. Quest’ultima lesione ai danni di dipendenti pubblici, infatti, si aggiunge all’ondata di cyber attacchi quotidiani già esaminati in altri post. In tali casi, ricade sul soggetto che detiene i dati (in tal caso, la PA) l’onere della prova di aver posto in essere tutte le misure adeguate per proteggerli diligentemente.

Tra tali misure, è possibile ricomprendere anche l’attivazione di un programma periodico che educhi tutti i soggetti a riconoscere mail e comportamenti sospetti e a diffidare dall’aprire messaggi inattesi, provenienti da mittenti non conosciuti.

 

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

/da

Data Breach, il Garante privacy lancia un nuovo modello di notifica

Che cosa cambia?

La gestione di un Data breach costituisce un tassello importante nella trama operativa della Data Protection, che spesso incontra difficoltà nella identificazione delle corrette modalità procedurali di comunicazione e notificazione all’autorità di controllo. Il GDPR prevede che in caso di Data breach, e dunque di violazione dei dati personali, il titolare del trattamento:

  • È tenuto a notificare l’evento al Garante senza ingiustificato ritardo, e comunque entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche;
  • Qualora la violazione comporti un rischio elevato per i diritti delle persone, il titolare deve altresì fornire adeguata comunicazione a tutti gli interessati, utilizzando a tal scopo i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

 

La gestione del Data breach, tuttavia, non si esaurisce nel predisporre le opportune comunicazioni e/o notificazioni: il titolare del trattamento, infatti, a prescindere dalla notifica al Garante, è tenuto a documentare tutte le violazioni dei dati personali, predisponendo un apposito registro; tale documentazione potrà costituire, successivamente, l’oggetto delle attività ispettive svolte dall’Autorità, nel corso delle eventuali verifiche sul rispetto della normativa.

Con il provvedimento n. 157 del 30 luglio 2019 il Garante privacy ha introdotto un nuovo modello ufficiale, contenente le informazioni minime necessarie per effettuare una notifica di violazione dei dati personali ai sensi dell’art. 33 del Regolamento europeo in materia di protezione dei dati personali (GDPR).

Alla luce delle nuove prescrizioni, tutti i soggetti tenuti alla notifica delle violazioni dei dati personali forniscono al Garante, nell’adempiere all’obbligo previsto dall’art. 33 del Regolamento e dall’art. 26 del d.lgs. n. 51/2018, le informazioni di cui all’allegato modello, con le modalità di cui all’art. 65 del d.lgs. n. 82/2005, mediante i sistemi telematici indicati nel sito istituzionale del Garante.

 

Come aggiornarsi? Hedya propone percorsi di formazione e aggiornamento

 

Il recente provvedimento del Garante per la protezione dati dimostra che la disciplina della protezione dati non si esaurisce nella mera conoscenza della normativa europea e nazionale, ma richiede costanti interventi di aggiornamento sulle più recenti prassi applicative.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità al GDPR.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

Ulteriori informazioni sono disponibili qui.

/da

Il GDPR in pratica: Hedya propone formazione e consulenza per operatori pubblici e privati

GDPR e D.lgs. 101/2018 : cosa è cambiato ?

Con la piena entrata in vigore del GDPR e il Decreto legislativo n. 101/2018, sono state introdotte sostanziali modifiche al Codice Privacy. Con il D.lgs. 101/2018, infatti, sono state abrogate tutte le disposizioni del d.lgs. n.196/2003 non più compatibili con il GDPR.

Con il passaggio dalla direttiva 95/46/CE al GDPR, la disciplina della protezione dei dati personali è stata oggetto di una riforma sostanziale: con il Regolamento è mutato radicalmente l’approccio stesso alla materia, attualmente incentrata sul principio dell’accountability. Questo nuovo modello si discosta dalla logica del Codice Privacy, orientata al formalismo documentale, rimettendo in capo al titolare del trattamento un ruolo proattivo: il titolare del trattamento è ora tenuto ad effettuare valutazioni, ad assumere decisioni e a provare di avere adottato misure proporzionate ed efficaci per garantire la protezione dei dati personali oggetto di trattamento.

Inoltre, molteplici criticità sono state evidenziate da associazioni, fondazioni e, più in generale, Enti del Terzo Settore: in base al previgente art. 26 del Codice privacy, i trattamenti aventi ad oggetto dati “sensibili” potevano essere effettuati esclusivamente previa autorizzazione del Garante.

Con l’entrata in vigore dell’art. 21 del d.lgs. n. 101/2018, si è posto così il problema di verificare la compatibilità delle prescrizioni contenute nelle autorizzazioni generali già adottate: tale norma, in attuazione delle disposizioni di cui al Regolamento, ha demandato al Garante il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX, del Regolamento, che risultano compatibili con le disposizioni comunitarie e il decreto medesimo che ha novellato il Codice, provvedendo altresì al loro aggiornamento ove occorrente.

Quale formazione? Le proposte di Hedya in tema di formazione e consulenza

 

Le profonde modifiche operate dal GDPR impongono in capo a tutti i soggetti coinvolti nelle operazioni di trattamento una adeguata conoscenza:

  • della normativa generale di cui al GDPR e al D.lgs.101/2018;
  • della prassi applicativa di settore, sulla base dei Provvedimenti del Garante Privacy.

 

Per tali ragioni, Hedya propone molteplici servizi a disposizione delle aziende e degli operatori pubblici.

In particolare:

  • Percorsi formativi rivolti a tutti i soggetti coinvolti nel processo di gestione dei dati digitali e agli operatori economici che collaborano con le PA.
  • Servizi di consulenza rivolta ad operatori pubblici e privati.

 

Ulteriori informazioni sono disponibili qui.

/da

Obiettivo Data Protection Officer: Hedya presenta i percorsi formativi più adeguati

Sfondo vettore creata da macrovector - it.freepik.combackground vector illustration">

Chi è il Data Protection Officer?  

 

Con l’entrata in vigore del nuovo Regolamento 2016/679/Ue (articoli 37 – 39) è stata introdotta, per tutti gli Stati membri, la figura del Data Protection Officer. Si tratta di una figura che richiama il cd. “Privacy Officer”, precedentemente previsto dall’articolo 18 della direttiva europea 1995/46/Ce, che istituiva semplificazioni o agevolazioni in caso di designazione di un soggetto indipendente, teso a garantire l’applicazione della normativa.

Pertanto, la codificazione della figura del Data Protection Officer (in seguito “DPO”) ha acquisito un’indiscussa centralità e dirompenza, tanto a livello statuale, quanto a livello europeo:

  • le comunicazioni dei dati di contatto dei responsabili della protezione dei dati siano state più di 48mila.
  • secondo uno studio condotto dall’IAPP (International Association of Privacy Professionals), il numero delle nomine a livello europeo supererebbe le soglie delle 500 mila unità.

 

Il DPO è dunque un soggetto indipendente, che non sostituisce, ma affianca il titolare o il responsabile del trattamento nella corretta gestione del trattamento dei dati personali.

La funzione del DPO è nettamente distinta da quelle del Titolare del trattamento:

  • spetta al Titolare la determinazione delle modalità e finalità del trattamento, oltre che all’ottemperanza degli adempimenti (come, ad esempio, il registro dei trattamenti);
  • il DPO assolve, ai sensi dell’articolo 39 GDPR, una funzione controllo e monitoraggio degli adempimenti e del rispetto delle prescrizioni previste dal Regolamento, ad esempio per l’esecuzione della valutazione d’impatto, la definizione del registro dei trattamenti, o la gestione delle terze parti.

Quale formazione?

 

Il DPO non richiede, tra i requisiti, il necessario possesso di certificazioni. L’articolo 37 del GDPR non fornisce un elenco analitico delle qualità professionali che dovrebbero essere considerate al momento della designazione del DPO. Pertanto, come affermato nella pronuncia del TAR Friuli Venezia Giulia, sent. 13/9/2018 n. 287  la certificazione di Auditor/Lead Auditor ISO/IEC/27001 non costituisce un titolo abilitante ai fini dell’assunzione e dello svolgimento delle funzioni di responsabile della sicurezza dei dati.

Il Garante privacy ha specificato che è opportuno privilegiare i soggetti in possesso di approfondita conoscenza:

  • della normativa e delle prassi in materia di privacy nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento;
  • dei rischi propri di ciascun trattamento dati e delle più appropriate misure di sicurezza;

Inoltre, il DPO deve possedere evidenti e concrete qualità professionali e gestionali, adeguate alla complessità del compito da svolgere, che possono essere supportate da esperienze formative.

 

Per tali motivi, Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Illustrati in Confindustria i cinque pilastri della Digitalizzazione

Qual è il ruolo della Digitalizzazione per le aziende e le PA?

 

L’avvento della Digitalizzazione offre nuove sfide ed opportunità per le aziende e la Pubblica Amministrazione. Per tali ragioni Hedya, con la sua pluriennale esperienza nell’organizzazione di percorsi di alta formazione con la collaborazione del DIEE dell’Università di Cagliari, ha organizzato il Convegno su “Digitalizzazione e sicurezza, GDPR e Big Data: obblighi e opportunità per aziende e PA”. La scelta di far convergere il settore pubblico e quello privato in un unico momento di confronto è dettata dalla ferma convinzione che il viaggio verso il digitale sia un cammino comune che essi devono compiere nella consapevolezza di avere ruoli complementari. Attraverso la partecipazione e la testimonianza diretta di docenti e professionisti del settore, sono stati enucleati i cinque pilastri della Digitalizzazione. L’evento è stato altresì finalizzato ad un confronto con tutti i partecipanti, che numerosi hanno avuto il piacere di intervenire nella fase di chiusura dei lavori.

 

I cinque pilastri della Digitalizzazione

 

  • Nuovi protagonisti: il Data Protection Officer e il Responsabile per la transizione al Digitale

Se il Data Protection Officer (DPO) rappresenta una figura posta a presidio della promozione della cultura e tutela della protezione dati, il Responsabile per la Transizione al Digitale svolge, invece, un ruolo dirimente nella diffusione della cultura digitale nelle realtà pubbliche. Questa figura era già stata introdotta dal 2016 nel Codice dell’Amministrazione Digitale (CAD): si prevedeva, in particolare, che ciascuna amministrazione nominasse un Responsabile per la Transizione al Digitale (RTD).

 

 

  • Big Data

Le attuali politiche di governo e le più recenti riforme normative in materia di protezione dati dimostrano che il digitale costituisce un asset strategico per il corretto esercizio delle funzioni pubbliche e per lo sviluppo della competitività aziendale.

 

  • Sicurezza informatica

Con i recenti e numerosi attacchi informatici a danno di svariate multinazionali e imprese italiane, si conferma l’aumento di rischi informatici rispetto al 2018 e l’inidoneità delle misure tecniche ed organizzative prescelte.

 

L’innovazione e la digitalizzazione confermano l’irreversibilità della transizione verso la digitalizzazione, che si presenta come un percorso condiviso, in cui gli operatori pubblici e i privati svolgono un ruolo complementare;

 

  • La corretta gestione documentale

La gestione documentale non si propone esclusivamente come elemento centrale per la digitalizzazione delle pratiche amministrative e dei relativi procedimenti, ma costituisce un indubbio vantaggio competitivo per le aziende.

 

 

Quali competenze necessarie?

Una corretta formazione si propone, dunque, come condizione imprescindibile.

Per acquisire le conoscenze pratiche di base per il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, ma anche dei soggetti che lo supportano nello svolgimento delle attività, si suggeriscono i percorsi formativi tracciati da Hedya.

/da