Contattaci

Our Blog

We only talk about the good stuff. Curated Collections, Freebies, well researched articles and much more

2024, Controllo mail lavoratori, GDPR

Lavoro: dal Garante Privacy nuove tutele per la email dei dipendenti

I datori di lavoro pubblici e privati che per la gestione della posta elettronica utilizzano programmi forniti anche in modalità cloud da oggi hanno a disposizione nuove indicazioni utili a prevenire trattamenti di dati in contrasto con la disciplina sulla protezione dei dati e le norme che tutelano la libertà e la dignità dei lavoratori.

Il Garante per la protezione dei dati personali ha infatti adottato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati” rivolto ai datori di lavoro pubblici e privati.

Il documento nasce a seguito di accertamenti effettuati dall’Autorità dai quali è emerso che alcuni programmi e servizi informatici per la gestione della posta elettronica, commercializzati da fornitori anche in modalità cloud, sono configurati in modo da raccogliere e conservare – per impostazione predefinita, in modo preventivo e generalizzato – i metadati relativi all’utilizzo degli account di posta elettronica dei dipendenti (ad esempio, giorno, ora, mittente, destinatario, oggetto e dimensione dell’e-mail). In alcuni casi è emerso anche che i sistemi non consentono ai datori di lavoro di disabilitare la raccolta sistematica dei dati e ridurre il periodo di conservazione.

Con il documento odierno il Garante chiede quindi ai datori di lavoro di verificare che i programmi e i servizi informatici di gestione della posta elettronica in uso ai dipendenti (specialmente in caso di prodotti di mercato forniti in cloud o as-a-service) consentano di modificare le impostazioni di base, impedendo la raccolta dei metadati o limitando il loro periodo di conservazione ad un massimo di 7 giorni, estensibili, in presenza di comprovate esigenze, di ulteriori 48 ore. Periodo considerato congruo, sotto il profilo prettamente tecnico, per assicurare il regolare funzionamento della posta elettronica in uso al lavoratore.

I datori di lavoro che per esigenze organizzative e produttive o di tutela del patrimonio anche informativo del titolare (in particolare, ad esempio, per specifiche esigenze di sicurezza dei sistemi) avessero necessità di trattare i metadati per un periodo di tempo più esteso, dovranno espletare le procedure di garanzia previste dallo Statuto dei lavoratori (accordo sindacale o autorizzazione dell’ispettorato del lavoro). L’estensione del periodo di conservazione oltre l’arco temporale fissato dal Garante può infatti comportare un indiretto controllo a distanza dell’attività del lavoratore.

Fonte: Garante

Best pratices, GDPR

Nuove linee guida sulla conservazione delle password

L’Agenzia per la Cybersicurezza Nazionale e il Garante per la protezione dei dati personali hanno redatto congiuntamente, specifiche linee guida relative alla conservazione delle password, fornendo indicazioni importanti circa le misure tecniche da adottare in ogni Organizzazione al fine di aumentare il livello di sicurezza.

Devono adottare tali linee guida tutte le organizzazioni (imprese e pubbliche amministrazioni – PA) nella misura in cui queste, agiscano sia come titolari che come responsabili del trattamento, e per l’effetto, conservino delle password.

Il paper completo “Linee guida alle funzioni crittografiche” può essere scaricato direttamente dal link PDF.

 

Agliana, Campi Bisenzio, Emergenza alluvione, Prato, Quarrata

Emergenza zone alluvionate – Consigli per salvare il materiale alluvionato

In queste ore di dramma umano ed economico, ci sentiamo nel nostro piccolo di dare alcune istruzioni per cercare di limitare i danni dovuti all’acqua e al fango, in particolare alle aziende e alle persone che oltre ai danni materiali agli immobili dovranno confrontarsi domani con la ripresa delle attività lavorative e con i danni procurati da pc, server e tutte le apparecchiature elettroniche che si potrebbero essere trovate sommerse da acqua e fango.

  1. Per qualsiasi apparecchiatura elettronica è fondamentale togliere qualsiasi fonte di alimentazione, compresi gruppi di continuità, batterie dei portatili e anche le batterie a bottone delle schede madri dei pc fissi o dei server;
  2. Non tentare assolutamente di accendere gli apparecchi a meno che non siano passate minimo 48 ore da quando sono entrati in contatto con l’acqua, anche se erano spenti;
  3. Nel caso in cui gli apparecchi siano interessati dal fango, i componenti devono essere puliti da aziende specializzate prima di essere nuovamente avviati, non tentate di farli ripartire prima di aver eseguito la pulitura in modo adeguato;
  4. Se si è pratici, smontare le parti scollegabili e lasciarle in aree ventilate con granuli di gel di silice o simili per almeno 48 ore in modo da rimuovere ulteriormente l’umidità presente;
  5. Cercare di isolare almeno il disco fisso contenente i dati importanti e cercare di annotare eventuali password che possano permettere l’accesso ai dati una volta collegabili ed avviabili;
  6. Evitare assolutamente l’esposizione a fonti solari o asciugature a meno phon e simili per non aggravare ulteriormente i possibili danni;
  7. Non tentare di collegare penne usb o dischi esterni di cui non si abbia la certezza di non essere bagnati a pc non alluvionati, per evitare corti circuiti generati dalle periferiche esterne bagnate;
  8. Se disponibile, tentate di avviare il pc con un alimentatore (interno o esterno) differente che non abbia avuto contatti con l’acqua;
  9. Nel caso in cui il pc riparta, effettuate immediatamente un backup dei dati anche se il pc sembra funzionare correttamente.

Un grosso forza a tutti i nostri conterranei in difficoltà!

2023, GDPR, News, whistleblowing

Whistleblowing settore privato: tutte le info e la nostra soluzione

WHISTLEBLOWING 2023: LE RICHIESTE NORMATIVE

Il 2023 è l’anno in cui anche in Italia, attraverso il decreto legislativo n.24/2023 si recepisce la direttiva n. 1937/2019 concernente proprio l’introduzione di nuove misure per la protezione dei whistleblowers tanto nel settore pubblico quanto in quello privato e volta ad armonizzare le normative nazionali in ottica di rafforzamento dei principi di trasparenza e responsabilità e di prevenzione dei reati.

La direttiva trova applicazione nei confronti di tutti gli enti privati che abbiano più di 50 dipendenti, indipendentemente dalla natura delle loro attività e, di conseguenza, a prescindere dal fatto che tali enti abbiano adottato modelli organizzativi volti a ridurre il rischio di commissione di reati nell’interesse e a vantaggio dell’Ente – come quelli previsti dal d.lgs. 231/2001 – e con riferimento a qualsiasi violazione di diritto comunitario.

In Italia è ANAC (Autorità Nazionale Anti Corruzione) che sarà parte attiva nel ricevere le segnalazioni che non troveranno seguito negli enti privati, che erogherà le sanzioni del caso e che si preoccupa di fornire linee guida per l’applicazione delle norme in oggetto.

Sotto lo schema riassuntivo per il settore privato:

La novità è l’applicazione nei confronti di tutti gli enti privati che abbiano più di 50 dipendenti, indipendentemente dalla natura delle loro attività e, di conseguenza, a prescindere dal fatto che tali enti abbiano adottato modelli organizzativi volti a ridurre il rischio di commissione di reati nell’interesse e a vantaggio dell’Ente – come quelli previsti dal d.lgs. 231/2001 – e con riferimento a qualsiasi violazione di diritto comunitario.

Pertanto, ogni azienda sopra i 50 dipendenti è tenuta a conformarsi alle disposizioni di legge entro il 17 dicembre 2023.

COSA SERVE PER METTERSI A NORMA CON LA LEGGE SUL WHISTLEBLOWING

La legge prevede essenzialmente 2 rami di adeguamento: una parte che risponda ai requisiti di tutela per il segnalatore e, di conseguenza, sia conforme anche alle prescrizioni del GDPR; un’altra parte che preveda l’adozione di strumenti e procedure che permettano l’introduzione in azienda di quel canale interno di segnalazione che è la prima opzione cui si deve rivolgere il segnalante.

Ricordiamo, infatti, che i canali di segnalazione devono essere utilizzati in forma progressiva, nell’ordine segnalazione interna -> segnalazione esterna (ANAC) -> divulgazione pubblica.

Per far ciò è essenziale che l’azienda scelga strumenti adeguati per proteggere il whistleblower da possibili ritorsioni garantendo anonimato, riscontro e protezione da azioni illecite post segnalazione come ad es. licenziamento o sospensione, sanzioni, retrocessioni di grado, discriminazioni.

In seguito alle scelte adeguate dovranno essere messi in atto alcuni adempimenti sulla protezione dei dati, come la valutazione di impatto, aggiornate le informative e il registro del trattamento.

Questo perché il trattamento è considerato di quelli ad alto rischio, pertanto oltre a motivare adeguatamente le scelte fatte, sarà necessario formare adeguatamente il personale che dovrà occuparsi della gestione delle segnalazioni come misura essenziale.

IN COSA POSSIAMO AIUTARVI

Se ancora non avete provveduto a regolarizzare la vostra situazione in ambito di compliance con le prescrizioni del GDPR, è il momento di farlo. Non si può essere considerati conformi con la legge sul whistleblowing se non abbiamo un adeguato livello di accountability con il GDPR. Possiamo seguirvi inoltre anche se siete parzialmente conformi attraverso l’aggiornamento della documentazione già disponibile e guidarvi ovviamente in una redazione di una valutazione di impatto che sia efficace.

Se non avete già scelto un servizio per le segnalazioni interne possiamo offrirvi la nostra soluzione: una soluzione esternalizzata attraverso un motore open source che permette di rispondere alle richieste di legge, differenziando gli accessi e anonimizzandoli fin dall’accesso al sito.

Altro aspetto importante sarà la gestione del personale: da un lato saranno importanti le procedure operative da mettere in gioco e dall’altro le aziende dovranno formare adeguatamente il personale preposto, in modo da creare un flusso di lavoro corretto.

Se non avete ancora effettuato i passi per adeguarvi o non sapete quello che la vostra azienda deve fare, vi invitiamo a contattarci per informazioni su adeguamento, soluzioni e costi.

Best pratices, News, Soluzioni informatiche

PMI a rischio: perché un piano di disaster recovery e un test di sicurezza esterno sono cruciali per proteggere il tuo business

Le PMI sono le imprese che rappresentano il tessuto economico delle nostre comunità. Tuttavia, molte di queste aziende operano senza un piano di disaster recovery e senza eseguire mai un test di sicurezza sui propri sistemi da parte di un esterno. Questo mette a rischio il loro business e la loro reputazione. In questo articolo, spiegheremo perché è importante avere un piano di disaster recovery e come un test di sicurezza può aiutare a proteggere l’azienda.

Uncategorized

Nuova ISO 27001:2022

La nuova versione dello standard ISO 27001 ha visto la pubblicazione ufficiale per la fine di ottobre ed è quindi disponibile per il download (solamente in inglese al momento in cui scriviamo).

La norma aggiorna il proprio titolo in ”Information security, cybersecurity and privacy protection — Information security management systems — Requirements” e cambia la parte dei controlli diminuendo il numero da 114 a 93 accorpando alcuni controlli che già si ripetevano; dimuendo le sezioni da 14 a 4 e introducendo 11 nuovi controlli.

Le aziende avranno in ogni caso un periodo transitorio di 3 anni per poter migrare i propri sistemi di gestione adeguandosi ai nuovi controlli.

Per ogni necessità a riguardo, l’azienda è già operativa per la compliance con le nuove richieste.

 

ISO27001, ISO27002, News, Tech

Nuova ISO 27002:2022

Rilasciata poche ore fa, la nuova versione della ISO 27002:2022 stravolge completamente il rapporto con la 27001, andando di fatto a ridisegnare completamente l’approccio operativo nell’implementazione della norma.

Nella ISO 27001:2013 sono presenti 114 controlli raggruppati in 14 capitoli; nella ISO 27002 sono adesso presenti solamente 4 capitoli e 93 controlli.

Il documento è stravolto nella struttura, alcuni controlli sono stati consolidati, altri rimossi o aggiunti da zero.

I punti più interessanti sono sicuramente quelli legati all’introduzione di specifici punti legati al cloud, ai dati personali ma soprattutto ai controlli legati agli stessi leak di dati all’interno delle organizzazioni.

Con l’introduzione di questi cambiamenti, diventa fondamentale l’integrazione delle nuove linee guida all’interno del proprio sistema di gestione, soprattutto in previsione dei rinnovi e degli audit di sorveglianza da parte degli enti di certificazione.

Per ogni necessità, lo studio della nuova versione della ISO è già in cantiere e siamo pronti a supportarvi nell’integrazione della stessa nelle nuove procedure.

ISO27002 aggiornamento, cosa cambia, modifiche

Soluzioni informatiche

Soluzione schermata blu windows 10 (KB5000802)

Nelle ultime 24/48 ore una quantità enorme di client con windows 10 ha ricevuto un aggiornamento “killer” che di fatto ha causato la comparsa continua di schermate blu di errore riportando errori con stop code: APC_INDEX_MISMATCH.

Questi errori sono generati da un aggiornamento che va in conflitto con alcuni e driver di stampa, e sono afflitte molte versioni di windows indipendentemente dall’anzianità della macchina.

Ad ora, Microsoft non ha fornito nessun fix, pertanto l’unico modo per ripristinare la situazione nelle macchine affette da questo problema è disinstallare l’aggiornamento incriminato.

Per effettuare il rollback, è necessario andare nel menu di avvio> selezionare Sistema Windows> Pannello di controllo> Programmi e funzionalità> Visualizza aggiornamenti installati. Una volta qui, individuiamo l’aggiornamento KB5000802 e premiamo Disinstalla.

Una volta disinstallato tale aggiornamento e riavviando la macchina, il problema dovrebbe scomparire.

Nel caso in cui non trovaste il numero di aggiornamento, è probabile che in ogni caso il pacchetto incriminato sia l’ultimo installato tra l’11 e il 12 di Marzo.

Nei pc dove l’errore non si verifica, non è necessario effettuare alcuna procedura.

News

Brexit: il punto sulle conseguenze per la protezione dei dati

Dal 1° gennaio 2021 il Regno Unito ha lasciato definitivamente l’Unione europea: si è completato il processo cosiddetto di “Brexit”. Quali sono le conseguenze in termini di protezione dati?

Per quanto riguarda i flussi di dati verso il Regno Unito, che è diventato dunque un Paese terzo, bisogna fare riferimento all’Accordo commerciale e di cooperazione stipulato il 30 dicembre 2020 fra Regno Unito e Unione europea. Tale accordo prevede, tra l’altro, che il Regno Unito continui ad applicare il Regolamento europeo sulla protezione dei dati per un ulteriore periodo di massimo 6 mesi (quindi fino al 30 giugno 2021). Di conseguenza, in questo periodo qualsiasi comunicazione di dati personali verso il Regno Unito potrà avvenire secondo le medesime regole valevoli al 31 dicembre 2020 e non sarà considerata un trasferimento di dati verso un paese terzo.

Nel frattempo la Commissione europea e il Governo UK si sono impegnati, sempre in base all’Accordo, a lavorare su reciproche decisioni di adeguatezza che consentano di proseguire i flussi di dati senza interruzioni, anche successivamente al periodo transitorio sopra ricordato. Se così non fosse, si applicheranno tutte le disposizioni del Capo V del GDPR, che richiedono l’esistenza di garanzie adeguate (clausole contrattuali tipo, norme vincolanti d’impresa, accordi amministrativi, certificazioni, codici di condotta) per trasferire dati dall’Ue (più esattamente dal SEE, lo spazio economico europeo) verso un Paese terzo non adeguato, oppure ammettono alcune deroghe in assenza di garanzie adeguate (consenso esplicito dell’interessato, interesse pubblico di uno Stato membro del SEE, ecc.), ma solo in via residuale e secondo un approccio molto restrittivo.

Per quanto riguarda eventuali contenziosi o reclami transfrontalieri in materia di protezione dei dati con titolari o responsabili del trattamento stabiliti nel Regno Unito, dal 1° gennaio 2021 al Regno Unito in quanto Paese terzo non sarà più applicabile il meccanismo dello “sportello unico” (one stop shop) che disciplina questi contenziosi fra i paesi del SEE. In sostanza, le imprese con sede nel Regno Unito non potranno più beneficiare della possibilità di rapportarsi con un’unica Autorità “capofila” (ossia, l’Autorità competente per lo stabilimento principale o unico nel SEE) per i vari obblighi previsti dal Regolamento europeo. Per poter continuare a godere dei benefici dello sportello unico, dovrebbero infatti individuare un nuovo stabilimento principale in uno Stato membro del SEE.

In ogni caso, dal 1° gennaio 2021 i titolari e i responsabili del trattamento con sede nel Regno Unito che siano soggetti all’applicazione del GDPR ai sensi dell’articolo 3, paragrafo 2, sono tenuti a designare un “rappresentante” nel SEE a norma dell’articolo 27 sempre del GDPR. Tale rappresentante può essere contattato dalle Autorità di controllo e dalle persone interessate per qualsiasi questione relativa alle attività di trattamento al fine di garantire il rispetto del GDPR. Resta sempre ferma la possibilità per gli interessati che si trovano all’interno nostro Paese – ed i cui dati sono trattati per l’offerta di beni e servizi o per il monitoraggio del loro comportamento da parte di titolari stabiliti nel Regno Unito – di rivolgersi al Garante per la tutela dei loro diritti.

Fonte ufficiale: garanteprivacy.it

Smart Working

Lo SmartWorking realmente smart

Il covid 19 ha profondamente cambiato il modo di vivere l’azienda e lavorare per tutte quelle realtà che hanno potuto fronteggiare l’emergenza sanitaria modificando le loro consuetudini lavorative con nuove modalità operative.

Il vero problema che le aziende si portano dietro e che non è immediatamente percepito è che lo Smart Working non è l’utilizzo di un pc sempre acceso con un programma free di teleassistenza h24 a disposizione.

Una soluzione di questo tipo, porta con sé numerosi problemi:

– problemi legati alla gestione dei dati personali

– esposizione a possibili data breach

– esposizione delle macchine ad attacchi di brute force

– zero tracciabilità delle operazioni effettuate

– dati aziendali a disposizione di un pubblico imprecisato

– non conformità rispetto agli standard ISO che coinvolgono le attività di trattamento sicuro dei dati.

 

Per le aziende di piccole e medie dimensioni, integrare lo smart working nei propri processi operativi è una valida opzione di sviluppo nonché di sicurezza operativa in tempi di protocolli anti covid 19, purché questa implementazione sia fatta nel modo giusto.

L’integrazione di sistemi di firewall, di vpn, non richiede costi esosi né tempistiche proibitive, ma permette piuttosto di garantire un accesso sicuro ai dati aziendali, un accesso dall’esterno attraverso accessi loggati e soprattutto ESCLUDIBILI in modo selettivo, attraverso protocolli di sicurezza sicuri e crittografati anche attraverso dispositivi come smartphone e tablet.

L’utilizzo attraverso sistemi adeguati permette inoltre di essere al riparo da possibili sanzioni per non conformità in ambito di prescrizioni GDPR sulla protezione dei dati personali, che in questo momento, con la circolazione di autocertificazioni, registri di temperatura e quan’altro sono più che mai esposti a violazioni.

Per venire incontro alle esigenze delle PMI, abbiamo pensato pacchetti ad hoc che comprendano adeguamento sia dei sistemi informatici sia della parte di compliance normativa, usufruibili anche attraverso il noleggio operativo che permetta quindi la rateizzazione dei servizi.

Per maggiori informazioni si richiede l’invio di una mail ai recapiti nella sezione contatti.

1 2
Get a Quote